Hos*_*ein 5 php security session session-variables
假设您有一个具有信用卡支付功能的购物应用程序。用户登录并开始购物。是否可以在用户登录后立即从数据库中获取他的信用卡号和密码并将它们保存到会话变量中,以消除在用户完成付款的后续步骤中对未来 SQL 查询的需要?
请在以下情况下
进行描述:a) 连接不安全
b) 连接是在 SSL 安全下建立的
上面的信用卡申请就是一个例子。我想深入了解会话变量的安全性。
正如 Dagon 所说,所有会话数据通常都驻留在服务器上。
然而,仍然存在一些陷阱。首先,在许多配置中,会话变量存储在/tmp/Web 服务器进程的所有者中并由其拥有。在共享主机情况下,可以想象共享主机上的其他用户设法访问会话数据。其次,您可以配置自己的会话处理程序,例如将会话数据存储在数据库中。在这种情况下,还必须考虑该实施的所有安全问题。
最好不要在会话数据中存储信用卡数据;只需将其写入安全位置,并在实际需要时通过某种合理的机制(例如数据库查找)检索它。