2
我正在写一个项目,在注册后我保存每个客户的id在session。 据我所知,session存储在服务器端的数据,所以它似乎是安全的。但是当会话变量以散列形式存储时,我多次见过。为什么人们以散列形式保存会话数据?
那么,为什么他们这样做?
非常感谢
A
回答
2
在大多数情况下,$ _SESSION的内容是安全的。我已经看了很多应用程序,而且我还没有看到这种散列任意数据的做法。有时像CSRF令牌这样的值被存储,并且通常这些都是哈希值。 PHP使用散列函数生成会话标识(cookie值),但这只是一个随机数。攻击者有可能访问通常存储在/ tmp /中的会话文件。这可以通过SQL注入使用MySQL的load_file()或使用目录遍历来完成。有时可以在共享主机环境中访问其他用户的会话信息。大多数开发人员不会考虑这种攻击。
2
使用散列函数并不总是与安全相关的。哈希的最初用途之一是为文件创建一个准独特的指纹,以便确保它真的是您想要的文件。如果您想在会话中存储大量数据,但稍后只需与其进行比较,则永远不会知道确切的内容,散列可能会节省硬盘驱动器空间并执行比较操作。
相关问题
- 1. 什么数据结构我们通常使用散列表存储散列键?
- 2. 为什么人们会这样创建数组列表?
- 3. Pthread:为什么人们会使用pthread_exit?
- 4. 以列表形式保存子列表
- 5. 我们为什么需要将会话存储在数据库中?
- 6. 什么保存会话? NSURLRequest或NSURLConnection?
- 7. 为什么会话中丢失数据?
- 8. 在数据库中保存会话的最佳方式是什么?
- 9. 为什么我的会话随机不会保存?
- 10. PHP的形式,会话数据不会被存储
- 11. 为什么我无法在会话中保存ASP.NET中的隐形阵营?
- 12. 为什么会话[:USER_ID]自动保护
- 13. 以一种形式保存多列
- 14. 为什么coldfusion不在数据库中存储会话
- 15. 有什么方法可以将PHP会话保存在RAM中?
- 16. 为什么将oauth 1.0令牌存储在数据库中 - 为什么不只是保持会话呢?
- 17. 为什么数据不能保存?
- 18. IE9不保存会话数据
- 19. 使用会话来保存数据
- 20. 在iPhone中保存会话数据
- 21. AddDistributedSqlServerCache不保存会话到数据库
- 22. 在会话中保存数据库值
- 23. 会话数据没有保存
- 24. Silex会话不保存数据?
- 25. 保存表单数据和会话
- 26. 为什么我的数据不会保存到SQL?
- 27. 任何想法为什么Internet Explorer不保存会话cookie?
- 28. 为什么PHP在使用instagram PHP API时不保存会话?
- 29. 任何人都可以说明为什么使用StreamWriter保存数据时仍然显示以前的数据
- 30. 会话超时后,我们可以保留会话吗?
啊,这是他们唯一合理的载体 - 但我还没有看到的情况下,即使是在共享主机,所有的网站将使用'/ tmp' - 大部分的时间,他们得到自己的临时空间某处其他。 – Piskvor 2010-09-13 08:36:43