CakePhpはセッションIDをCookieに保存します。通常、CAKEPHPという名前のCookieにはセッションIDが含まれ、他のphpファイルではそのIDでセッションを開始できます
session_id($_REQUEST['CAKEPHP']);
session_start();
私の質問は、これがセッションIDを処理する安全な方法です。そうであれば、今より良い解決策があれば、どのように安全ですか。
質問する
752 次
1 に答える
0
セッション Cookie は、Cookie を生成した/セッションを開始した同じドメインに対してのみ有効です。
別の php ページがそのセッションを取得することは可能ですが、同じドメインで提供されている場合にのみCookie を受け取ります。この場合、それは Web サイトの「一部」です。
したがって、(重大な問題がない限り) Web サイトに php ファイルを追加/アップロードできるのはあなただけなので、これは問題にはなりません。
ただし、セッション DATA が保存されている場所を確認する必要があります。app/Config/core.php のデフォルトの「php」セッション設定は、php.ini で設定されたセッション保存パスにセッション データを書き込みます。これは、同じサーバー上の他の Web サイトからアクセスできる「共有」ディレクトリである場合があります。
セキュリティを強化するには、app/config/core.php のセッション構成を「cake」に設定します。これにより、Web サイトからのみアクセスできる app/tmp/sessions にセッション データが書き込まれます。
于 2013-02-05T21:49:52.380 に答える