時刻表システムを作成する必要があり、機能するページでログインを作成しましたが、セッションを使用して、誰がログインしているか、まだログインしているかどうかを知る必要がありますが、cookies無効にする必要があるため、に保存しようとSessionIDしましたデータベースですが、MySQL別のページでそのセッションIDを取得する方法がわからないので、何かアイデアが役立ちますか? 私も正しい行にいるかどうかはわかりません
質問する
1388 次
1 に答える
2
次のように、URL を介してセッション ID を渡す必要があります。
http://local.domain/index.php?sessionID=7387837rhdfjfytyfegwfvkewbf
明らかに、上記のGETリクエストにより、セッション ID がかなり明白になります。実際には、通常の状況では、ユーザー自身だけがそれを見ることができます. したがって、セキュリティへの影響はそれほど悪くはありませんが、悪意のある人がセッションを偽装するために存在します.
このアプローチを使用するためのヒント:
- 増分セッション ID (100、101、102) を使用しないでください -ランダム ID を生成します
- すべてのページでリクエストを使用できますが、
POSTセキュリティには役立ちませんし、おそらくユーザーを動揺させたり、敵対させたりするでしょう (戻るボタンを押すことを検討してください)。 - からの一意のセッション ID を
$_GETキーとして使用して、データベースでセッションを引き続き維持します。 - セッションがタイムアウトすることを確認してください。更新の
last_accessたびに時間を更新して、アクティブなユーザーがタイムアウトにならないようにします。
于 2012-12-14T19:20:53.403 に答える