【发布时间】:2020-01-29 19:45:19
【问题描述】:
出于记录目的,我必须将客户端 PHPSESSID 存储到数据库中。
假设会话已过期,是否有与此相关的不良做法?有人可以通过阅读列表来预测 PHPSESSID 吗?
很高兴听到这可能导致安全问题的任何情况。
【问题讨论】:
-
“出于登录目的,我必须将客户端 PHPSESSID 存储到数据库中。” - 为什么“必须”?正确解释这样的事情,而不是假装它是绝对不变的。
【发布时间】:2020-01-29 19:45:19
【问题描述】:
人们可以设置 PHPSESSID,因为它们存储在本地,这意味着在任何形式的安全措施中使用都是不安全的。
请看这个:
What is the correct and safe/secure way to keep a user logged in? cookies? session? PHP && MYSQL
【讨论】:
-
目的不是让用户保持登录状态。我只是想知道知道用户过去的 session_id 是否有任何可能的问题。