使用 Codeigniter 安全地存储会话数据？

Question

对于我的所有项目，我都使用 codeigniter 作为我的框架。我总是使用会话来获取诸如 user_string 和 user_permissions 之类的存储内容，以确定谁可以访问站点内的某些功能和页面。

使用session->userdata 作为基础来提供用户独特的内容是不好的做法吗？

我通常在用户登录时设置一个用户数据数组，如下所示：

$data = array('id' => $user_string, 
              'g' => $user_group);

$this->session->set_userdata($data);

当我确定他们从查询中得到什么结果时，我可能会执行以下操作：

function get_posts(){
    if( $this->session->userdata('g') == 2 ){
        $data = $this->db->get_where('posts', array('' => $this->session->userdata('id') ) )->result_array();
        return $data;
    }
}

此代码是否因为session->userdata('id') 和session->userdata('g') 而易受攻击？

非常感谢任何评论。

Answer 1

想一想：-
将密钥保存到 application/config/config.php，打开文件并设置

$config['encryption_key'] = "YOUR KEY";

$this->load->library('encrypt');

data = array('id' => $this->encrypt->encode($user_string), 
              'g' => $this->encrypt->encode($user_group),

);

$this->session->set_userdata($data);

获取数据时：-

function get_posts(){
    if( $this->session->userdata('g') == 2 ){
          $id =$this->encrypt->decode($this->session->userdata('id') );
        $data = $this->db->get_where('posts', array('' =>  $id ) )->result_array();
        return $data;
    }
}