Php Seanslar ne kadar güvenli? Ben kullanıcıların kimliğini doğrulamak için doğal PHP oturumları kullanmayı planlıyorum. Onlar 'POST ve $ _GET verileri $ olabilir gibi kullanıcıların oturum verilerini değiştirebilir miyim?
Geliştirici olarak size kullanıcı yazdığınız kodu aracılığıyla oturum içine koymak varken veriler sadece bir oturumuna gider. Bu nedenle, seanslar, onlara izin veri kadar güvenli, ve bu verileri güven ve kullanımı nasıl. Ayrıca, oturumları istemci oturumu kullanıcıyı tanımlamak için kullandığı bir sessionID dayanmaktadır. Birisi bir OturumKimliği hijacks varsa, o zaman kimin oturum kimliği Çaldıkları kullanıcı olmanın taklit edebilirsiniz. Bu sigara SSH iletişim olabilir. Yani giriş yapmış ve SessionID sadece güvenli modda iletilen sürece (önemli şeyler için) bir kullanıcıyı tanımlamak için bir oturum kimliği güvenmiyorum.
Güvenlik sonraki soru kullanıcıya gönderilen bir sessionID bir "guessability" olacaktır. Eğer ben bunu geçmek zaman ve belgelere göre, yukarıda söz şeyler işlemek Eğer "guessable" PHP SessionIDs nasıl anlayacaksınız.
Nihayet XSS saldırılarına dikkat. XSS insidansını en aza indirmek için nasıl açıklamak internet üzerinden birkaç mesaj vardır.
PHP oturumları kullanıcıya verilen oturum tanımlama gibi güvenli. Oturumdaki tüm veriler sunucu tarafında saklanır, böylece kullanıcılar keyfi sitenizin sağlar olursa olsun işlevsellik yoluyla dışında onları değiştiremezsiniz. Ancak, PHP oturum çerezleri cross-site scripting (XSS) ve cross-site istek sahteciliği (CSRF) saldırıları için ortak bir hedef vardır. Sadece aynı, oturumları sürece potansiyel risklerin farkında olarak kullanıcı kimlik doğrulaması yapmak için iyi bir yoldur.
Bazı Vikipedi bağlantılar: