目前我正在与CI合作。我正在使用CI会话库,它将所有会话值保存在cookie中。是否有任何可能通过在Mozilla中使用像web开发人员这样的插件来破解这个(会话变量)。
答案 0 :(得分:5)
默认情况下,会话由4个信息组成:
当然,加上你自己的会话数据。这四个数据中的3个不需要是安全的,而第一个应该非常可靠,即使使用MD5,我也没有深入到代码中来实际查看它是否如此(我不是安全专家) 。 后者信息的安全级别取决于您在那里存储的信息类型,以及您在存储之前对它们的处理程度。
您也可以决定使用数据库存储会话,这将是一个更安全的选项(前提是您不要搞砸允许sql注入!)。
另请注意:
如果启用了加密选项,则序列化数组将启用 在存储到cookie之前加密,使数据高度重要 安全且不受某人阅读或改变。更多信息 关于加密可以找到here,虽然会话 class将负责初始化和加密数据 自动。
那么,他们应该非常安全;如果你不够信任它们,你可以自由地散列或加密你想要的数据,或者仍然可以毫无问题地使用PHP原生会话。
答案 1 :(得分:3)
这完全取决于您实际最终存储在Cookie中的信息类型。如果$_COOKIE['is_admin']的值为"false" ..那么......
基本上,您必须检查实际存储在用户计算机上的信息。通常对于会话,它只存储PHPSESSID,其中包含一个哈希值,其余值保留在服务器上。