我保存了一些重要的信息$_SESSION,而不是$_COOKIE.所以,我的问题,是危险的吗?或者它是否受到试图编辑它的恶意用户的保护,我很好?谢谢.
顺便说一下,还可以编辑$_COOKIE吗?我听说是的,但如果是,那怎么样?
Mik*_*ike 18
$_SESSION存储在服务器端.黑客可以做的最好的事情是替换现有会话的另一个用户会话,但是黑客无法插入任意数据$_SESSION.$_COOKIE然而,存储在客户端,因此黑客只需编辑cookie就可以将任意数据插入到cookie中.
默认情况下,$_SESSION已由具有名称的cookie支持phpsessionid(以便服务器能够识别客户端并将其与服务器内存中的一个会话关联).如果黑客知道其他人的cookie值并将其复制到同一域/路径上具有相同名称的自己的cookie中,则黑客可以访问该cookie $_SESSION.但是,cookie值很长且随机,足以最大限度地降低会话在半小时内被劫持的风险(默认会话超时).