el_*_*_le 6 cookies session codeigniter
如何提高会话的安全性?
$this->session->userdata('userid')
为了我的ajax电话,我一直在扔这个小坏孩子.有些情况我没有.然后我就像是,使用来自DOM的id真的很安全吗?如果将DOM更改为破解用户帐户数据该怎么办?所以我就像我猜的那样,当用户做任何与他们的id相关的事情时,只应引用会话.我对吗?
像这样引用:
$this->some_model->do_data_stuff($dataId, $this->session->userdata('userid'));
然后我读到了这个:
虽然存储在用户cookie中的会话数据数组包含会话ID,但除非您将会话数据存储在数据库中,否则无法对其进行验证.对于某些需要很少或不需要安全性的应用程序,可能不需要会话ID验证,但如果您的应用程序需要安全性,则必须进行验证.否则,用户可以通过修改其cookie来恢复旧会话. http://codeigniter.com/user_guide/libraries/sessions.html
我不打算存储财务数据,但我不希望我网站上的任何数据损坏.SO是否使用会话验证?这个验证需要多少开销?会话将如何被黑客入侵?使用会话安全性需要注意哪些事项?
Wox*_*xxy 21
使用CodeIgniter会话与数据库将是相当安全的.您只需要信任用户提供的输入即可.即使您使用的是AJAX,CodeIgniter会话也可以像任何标准调用一样工作,因此相同的安全性仍在继续.
CodeIgniter会话发生的是服务器存储cookie,每次用户执行将改变cookie内容的操作时,首先将其与之前的cookie进行比较.
如果用户在浏览器中更改了会话cookie的内容,CodeIgniter将在下一次服务器调用时注意到,并为该用户创建一个新会话,基本上将其注销.
CodeIgniter并不真正需要用户浏览器中存储在cookie中的数据,只要您正在使用
$this->session->userdata('userid');
你将获得可靠的服务器端数据.用户无法更改.此外,cookie可以加密,你应该加密.只需查看CodeIgniter的config.php即可.
会话数据还有其他一些保护:短刷新超时(通常为300秒),它检查IP是否更改,以及浏览器是否更改.换句话说,在最坏的情况下,欺骗会话数据的唯一方法是使用相同版本的浏览器,具有相同的IP,直接访问计算机以复制/粘贴cookie,并完成此操作5分钟内.
所以,要小心坐在你身边的那个人!
| 归档时间: |
|
| 查看次数: |
5622 次 |
| 最近记录: |