我在我编写的应用程序中使用(服务器端,而不是cookie)会话,如果用户未获得对服务器的访问权限,我可以信任$ _SESSION变量,还是应该在每次加载页面时验证它的内容?
注意:
我正在尝试限制查询到我的数据库的数量,目前我正在验证每个页面加载的数据,我想,我可以消除查询,但我想100%肯定。
答案 0 :(得分:4)
是的,您可以安全地将其存储在会话中。您应该确保验证方法是安全的。 (存储在会话中之前使用的方法)。
答案 1 :(得分:3)
您只需要确保会话存储在安全的地方。默认情况下,会话存储在某些地方,如/ tmp / on linux。如果用户可以访问您的服务器,他们可以编辑会话变量。
您应该考虑将会话保存到数据库,和/或向会话添加哈希计算(md5 +秘密种子)验证,并始终检查是否未针对该哈希修改会话变量。