在我的 PHP Web-App 中,我使用会话来存储用户的数据。例如,如果用户登录,则会生成 User 类的实例并将其存储在 Session 中。
我有与每个用户相关联的访问级别以确定他们的权限。
通过以下方式将用户存储在会话中:
$_SESSION['currentUser'] = new User($_POST['username']);
例如:
if($_SESSION['currentUser'] -> getAccessLevel() == 1)
{
//allow administration functions
}
其中 getAccessLevel() 只是 User 类中的一个 get 方法,它返回 _accesslevel 成员变量。
这安全吗?或者客户端可以通过某种会话操作以某种方式修改其访问级别?
【问题讨论】:
不,客户不能修改他们的访问级别。唯一存储在客户端上的是会话密钥,它可以通过 cookie 或 GET 参数传播。会话密钥与相应的会话记录相关联,该会话记录是存储在服务器端(通常在临时目录中)的文件,其中包含“punch”。 您不想要的是会话密钥泄露给第三方:
泄露的会话 ID 会启用第三个 访问所有资源的一方 与特定的 id 相关联。
【讨论】:
会话信息存储在服务器上,用户只能访问密钥。在实践中,我使用了这种东西,还有额外的步骤。在验证用户详细信息并存储用户对象后,我会在查看任何受保护的页面时运行一个查询,以验证会话中的内容是否与他们试图查看的内容一致。 在您 page.php 的顶部
if(!validUser($user)){
// Relocate the user
}
在哪里
validUser(User $user)
{
// Some query to verify the information in the session
// Return the results of verification
}
【讨论】:
我认为用户操作此类内容的唯一方法是将其存储在用户计算机上的 cookie 中。
getaccesslevel 是存储在 cookie 中,还是仅在检查登录 cookie 后才从服务器调用而不存储在用户计算机上?
我假设如果仅在用户登录后才在服务器上调用它,那么除了通过其他安全漏洞手段之外,他们将无法轻松操纵它。
只是我的猜测,我自己的安全性还不是很好。我会密切关注这个,看看其他人有什么要说的,也许我可以学到一些东西。
【讨论】: