計画しているセッションの使用について少し混乱しています。ログインしていないユーザーが私のサイトにアクセスしてファイルをアップロードします。このユーザーは、セッション中のファイルの所有権を制御できます(session_id()を使用して設定)。ただし、ユーザーが制御できることを認識するために、セッションIDがデータベースに挿入され、そのユーザーIDで検証されます。これは良い習慣ですか?セッションIDはどの程度一意ですか?
2 に答える
1
セッションIDは、現在使用されているIDのスペースで一意であることが保証されています。基本的に、現在のすべてのセッションには一意のIDがあります。
これは、セッションIDだけに頼ることができないことを意味します(そのように言うと明らかなようです)。現在の時刻をハッシュして、ファイルの一意のIDを持つものを使用するようなことをお勧めします。
于 2012-07-23T23:07:59.713 に答える
0
別の一意のIDを作成し、それをセッションとデータベースに保存します。一部のフレームワークとライブラリは、リクエストごとにセキュリティ目的でセッションIDを再生成するため、ユーザーセッションの期間中に変更されないことを想定するのは適切ではありません。セッションIDで確実なのは、それが確実に一意になることだけです。
于 2012-07-23T23:06:44.253 に答える