我有学生访问页面的以下会话检查代码
<?php session_start();
// if the user accesses this page, make sure they have been authenticated
if (($_SESSION['role']) !== SHA1('student')) {
header( 'Location: index.html' ) ;
} else
*give access to page...*
如果从登录页面收到的会话变量($_SESSION['role'])是字符串“student”的SHA1值,则允许访问否则拒绝..
这是一个足够的检查,还是我应该进行更多的检查,考虑到服务器端处理会话,在这种情况下是会话劫持还是中毒?
例如黑客提供字符串“student”的SHA1值并获得访问权限?
提前致谢..
这是一个充分的检查