0

私はセッションで続く一種のお気に入りリストを実装しようとしています。現在、セッションはDBに保存されており、お気に入りはユーザーのsession_idとともに別のテーブルに保存されています。私の質問は次のとおりです。

これらのセッションID値はどの程度信頼できますか?これらのお気に入りには機密データはありませんが、他の人が他のセッションID値を渡して、他のユーザーのお気に入りを改ざんすることはできますか?(私は彼らができると推測していますが、彼らが別の既知のセッションIDを渡すことを除いて、どのように推測することができますか?)

セッションIDは常に存在しますか?私のライブラリでは、セッションIDを参照し続けています-すべてのユーザーがセッションIDを持っていると想定しても安全ですか?(PHP / CIは、合格しないものの1つを自動的に作成しますか?)

前もって感謝します!

4

1 に答える 1

1

application/config/config.php「セッション変数」の下にsess_encrypt_cookieあるのは、セッション ID を隠すことができるブール値です。一致する IP アドレスとユーザー エージェントを要求するオプションもあります。これにより、セッション ID が何であるかを知っていたとしても、誰かがセッション ID を偽装することは非常に困難になります。

セッション ID が常に存在するかどうかについては、アプリがページの読み込み時にセッションを開始する場合、セッション ID があると想定しても安全です。ただし、非アクティブな状態が一定期間続くと有効期限が切れるため、ユーザーが次にアクセスしたときに同じではない可能性があります。つまり、ユーザーが離れると、すべてのセッション設定が失われます。

お役に立てれば。

于 2011-04-09T21:15:54.863 に答える