PHP会话变量有多安全?我有一个登录脚本,用于根据“用户”表中的数据验证用户名/密码。此外,我有一个'角色'表,指定给定用户的访问级别。假设我使用的是安全登录脚本,那么在成功登录时,是否存在任何安全漏洞,只需在“角色”表中执行其他查询以发现用户的授权级别并将其存储到会话变量中?这个想法就是在具有混合权限的任何页面上,我可以简单地查询会话变量以发现登录用户的授权级别。
3 回答
达令说
TA贡献1821条经验 获得超6个赞
只有在服务器上执行的脚本才能访问_SESSION数组。如果定义会话cookie的范围,甚至可以将其限制为特定目录。除了你之外,有人可以获得会话数据的唯一方法是将一些PHP代码注入到你的一个页面中。
对于您正在使用的系统,这是可以接受的并且是保存数据库调用的好方法,但请记住,它将要求用户注销并再次登录以应用任何授权更改。因此,如果您想要锁定帐户并且该用户已经登录,则您不能。
- 3 回答
- 0 关注
- 498 浏览
添加回答
举报
0/150
提交
取消