【发布时间】:2015-12-17 13:13:15
【问题描述】:
我在我的网站中有一个管理面板,我可以从中登录以管理我的网站,对于登录身份验证,我使用了一个代码来检查用户名和密码是否存在于 dB 中,如果存在,我将一个变量设置为 true,如下所示: $_SESSION['admin_logged']= true ;
我想知道这种方式是否安全。因为我在某处听说会话变量可以被窃取或嗅探或类似的东西。但是,我真的不知道那是什么意思。当变量保存在服务器端时,如何窃取变量?如果可能的话,我怎样才能防止这种情况发生。 非常感谢您。
【问题讨论】:
-
认为这与 security.stackexchange 更相关。他们已经有一个问题了,security.stackexchange.com/questions/81519/…
-
我倾向于认为,除非您经营一家银行,否则开箱即用的会话就可以了
-
一个月前我确实回答了一个非常相似的问题:Are Laravel 4 session variables secure?
标签: php security session-variables session-hijacking