我想知道用户如何操纵他的 cookie。
据我所知,CI 可以知道(因为 cookie 末尾的 cookie_value/unique_key 关系)以及 CI 何时更新 cookie。
他记录了这个:
会话 cookie 数据与预期不符。这可能是一次可能的黑客攻击
关键是,有些人讲述了使用本机 php 会话来存储登录数据,但被盗的风险是相同的(对于 CI cookie 可能更少)。我能看到的唯一区别是用户可以看到 CI cookie 会话中存储了哪些数据。
那么 CI 会话 cookie 是否安全?或者为什么它不如原生 php 会话安全?
对于高流量网站,我也想降低负载费用。
对不起我的英语不好..
编辑以解释 CI 会话验证:
假设您不想存储敏感数据,会话 cookie 将不会被加密,也不会保存在数据库中。
根据 CI 2.1.3 会话库,方法CI_Session::sess_read()在第 135 行和方法CI_Session::ses_write()在第 235行声明。
当 CI 创建 cookie 时,它把这些数据
[array]
(
'session_id' => random hash,
'ip_address' => 'string - user IP address',
'user_agent' => 'string - user agent data',
'last_activity' => timestamp …