【问题标题】:Phalcon Session Adapter? Is it safe?Phalcon 会话适配器?安全吗?
【发布时间】:2015-01-27 17:10:12
【问题描述】:
我有点担心使用 Phalcon 提供的会话适配器。在文档中说“此适配器将会话存储在纯文件中”,这是否意味着它将会话数据存储在访问者计算机或应用程序主机上?
这种存储登录信息的方法也安全吗?我应该使用默认的会话适配器还是应该使用更多的东西,比如将会话存储在 MySQL、REDIS、Memcache 或 Mongo 中......
【问题讨论】:
标签:
php
mysql
mongodb
session
phalcon
【解决方案1】:
安全通常不是关于它是否存储在数据库中(主要是因为现在数据库实际上比文件系统更容易进入),而是磁盘上的数据是否以安全的方式存储,即加密/散列。
默认适配器通常将会话存储在服务器 /tmp 或 C:\temp 中。
当然,在 99.99% 的情况下,您不应该在会话中存储需要加密的极其敏感信息,事实上,在某些国家(英国),长时间存储敏感信息是违反 ISO 标准的会话对象内的时间段。请记住,会话不是无懈可击的,它们可能会被劫持,并且即使在增加了安全防护的情况下也一直存在;对于直接接触最终用户的东西,您只能采取这么多的预防措施(请记住,PHP 会将会话 ID 存储在 cookie 中,并且大多数恢复会话的验证都是基于 cookie)。
您应该尝试这样做,以便您的会话可以存储在 cookie 中,因为这是一天结束时唯一大致安全的会话;一种数据是否公开并不重要。