PHP–会话–安全性

php Sessions有多安全？我打算使用本机PHP会话来验证用户.用户可以修改会话数据,例如$_POST和$_GET数据吗？

解决方法:

当您作为开发人员让用户通过您编写的代码将其放入会话时,数据才会进入会话.因此,会话与您允许的数据一样安全,以及您如何信任和使用该数据.此外,会话基于客户端用于标识会话用户的sessionID.如果有人劫持了sessionID,那么他们可以模仿他们偷走了会话ID的用户.这可能发生在非SSH通信中.所以不要相信会话ID用于识别用户(对于重要的东西),除非他们已经登录并且sessionID仅以安全模式传输.

下一个安全问题是您发送给用户的sessionID的“可猜测性”.如果你处理我上面提到的东西,那么当你完成它和文档时,你将会理解“可猜测的”PHP sessionID是多少.

最后要注意XSS攻击.互联网上有几篇帖子解释了如何最大限度地减少XSS的发生率.