我正在构建的网站的管理控制面板需要登录脚本。活动用户存储在mysql表中,但是一旦用户通过身份验证,我应该将令牌存储为会话还是cookie?哪个(如果有的话)更安全?
答案 0 :(得分:3)
绝对是会话。它们存储在服务器上。 Cookie存储在客户端,用户可以轻松编辑。
答案 1 :(得分:1)
在数据存储在服务器上的意义上,会话只不过是服务器端cookie 。客户端仍然获取一个cookie,对于PHP来说(PHPSESSID
或类似的东西),这只是一个识别会话的数字。
使用会话的一些优点是,您不必为每个请求传递数据,并且客户端不能“混乱”它。
此外,在PHP中,您可以实现自己的会话存储机制,因此您不受任何会话大小限制的约束,但这可能远远超出您的范围:P(session_set_save_handler
,请参阅PHP.net更多信息)。