PHPセッションはどのくらい安全ですか? ネイティブ PHP セッションを使用してユーザーを認証する予定です。$_POST や $_GET データと同じように、ユーザーはセッション データを変更できますか?
2 に答える
6
開発者として、作成したコードを介してユーザーにデータをセッションに入れさせた場合にのみ、データはセッションに入ります。したがって、セッションは、許可されたデータと、そのデータをどのように信頼して使用するかと同じくらい安全です。さらに、セッションは、クライアントがセッション ユーザーを識別するために使用する sessionID に基づいています。誰かがセッション ID を乗っ取った場合、そのセッション ID を盗んだユーザーであることをエミュレートできます。これは、非 SSH 通信で発生する可能性があります。そのため、ユーザーがログインしており、セッション ID がセキュア モードでのみ送信されている場合を除き、ユーザーを識別するためにセッション ID を信頼しないでください (重要なもののため)。
セキュリティに関する次の問題は、ユーザーに送信したセッション ID の「推測可能性」です。上記のことを処理すれば、それとドキュメントを理解するまでに、PHP セッション ID がいかに「推測可能」であるかを理解できるでしょう。
最後に、XSS 攻撃に注意してください。インターネット上には、XSS の発生を最小限に抑える方法を説明する投稿がいくつかあります。
于 2008-10-20T21:20:06.290 に答える
3
PHP セッションは、ユーザーに与えられるセッション Cookie と同じくらい安全です。セッション内のすべてのデータはサーバー側に保存されるため、サイトが提供する機能を使用しない限り、ユーザーが勝手にデータを変更することはできません。ただし、PHP セッション Cookie は、クロスサイト スクリプティング (XSS) およびクロスサイト リクエスト フォージェリ (CSRF) 攻撃の一般的な標的です。同様に、潜在的なリスクを認識している限り、セッションはユーザー認証を行うための良い方法です。
ウィキペディアのリンク:
于 2008-10-20T21:20:05.413 に答える