我有一个登录脚本,用于根据"用户"表中的数据验证用户名/密码.此外,我有一个'角色'表,指定给定用户的访问级别.假设我使用的是安全登录脚本,那么在成功登录时,是否存在任何安全漏洞,只需在"角色"表中执行其他查询以发现用户的授权级别并将其存储到会话变量中?这个想法就是在具有混合权限的任何页面上,我可以简单地查询会话变量以发现登录用户的授权级别.
谢谢.
我对会话有疑问.你如何建立一个安全的登录会话/ cookie.我在看这个例子,他们将这个数组添加到会话中:
$data = array{
username = $_POST['username'];
is_logged = true;
}
我想知道这是否足够?是不是可以将cookie中的用户名更改为任何内容或任何人?有什么好办法可以解决这个问题?
或者这是完全安全的,我错过了什么?
另外,你们怎么看待在数据库中存储会话?我知道CI有一个内置功能来做到这一点.这会导致任何性能方面的问题,还是值得鼓励?