用户登录会话变量.是否可以欺骗会话变量?PHP

GGi*_*Gio 3 php session login

当用户登录时,我使用以下策略来验证用户:

  1. 用户名密码以及唯一的令牌会话标识符存在于数据库中
  2. $_SESSION['logged_in'] = true如果以上设置会话变量返回true
  3. 在每个页面(basecontroller)检查if ($_SESSION['logged_in'] > 0)否则重定向到登录页面.

是否有可能黑客可能以某种方式设置$ _SESSION ['logged_in'] = true; ?上述策略是否存在安全问题?

请给我一篇文章或任何可以帮助我提高安全性的文章.

Thi*_*ter 6

会话存储在服务器上,因此用户无法修改会话中的任何内容,除非他闯入您的服务器 - 在这种情况下,他显然可以运行$_SESSION['logged_in'] = true;或执行任何其他规避您的代码中的安全措施.

存储在客户端的唯一内容是会话ID cookie.这是一个随机的32个字符的哈希,不包含任何数据.