我有一个4步形式的过程。我的表单是否安全?
- form.php的
- validation.php
- review.php
- complete.php
form.php的职位,以validate.php这取决于验证重定向或者回form.php或review.php。最后一步是complete.php
每个页面都使用HTTPS调用,除了validate.php,这是创建SESSION变量的位置,然后重定向回form.php或review.php,调用https。
浏览器上的锁永远不会消失,但我被告知是否发布到相对路径(不明确调用https)表单不安全。
这是真的吗?我安全吗?有没有办法检查或证明表单过程是否安全?
有人告诉我这是安全的,但我只是想确保我不承担责任。
我在表单帖子上使用相对路径,因为当使用HTTPS明确调用页面时,不会创建SESSION变量。如果任何人有一个可能的解决方案,那也会很棒。
我将敏感信息存储在SESSION变量中,直到complete.php存储在数据库中。我怎么能确定只有root和php可以访问变量? – chris 2009-09-16 12:43:44
您可以检查访问权限,但是允许PHP(实际上是用户Apache)进入该目录将允许某些脚本访问这些文件;除非PHP有一些非常严格的安全措施。我使用数据库只是为了确保使用seLinux阻止访问除/ var/www/html之外的任何目录。由于seLinux对于远程访问权限(与文件系统访问权限分开)非常热心,因此这是一种可行的方法。 – 2009-09-16 13:31:59