0
我想知道密钥的名称是否在安全方面很重要。一个独特的名字比一般的名字更安全吗?
如果我将用户的电子邮件存储在 $_SESSION['email']如果它是像$_SESSION['em_10lettersID']这样的唯一用户,会更好吗?尽管如此,将电子邮件存储在一个会话中可能并不安全。
A
回答
0
- 你所谈论的会话变量,而不是会议的名称。
- 不,没关系。任何人都可以打开浏览器并查看调试器中的资源,并查看cookie中存储的内容。如果存储的值是“[email protected]”,无论您称之为“asdfkjh234690hj”还是“电子邮件”都无关紧要。
通常,将电子邮件地址或任何其他敏感信息存储在会话中不是一个好主意。最好存储一个可以在数据库中查找的用户令牌(如MD5哈希或AES加密的秘密字符串),或者以web根目录以外的平面文件 - 公共WWW用户无法访问的方式)。您的数据库或数据存储然后可以使用该密钥来检索您需要进入代码的值。
希望有所帮助。
2
让我们澄清任何误解。
A 会话是服务器端存储。没有什么更多。通过在包含唯一令牌的设备上存储cookie,该存储与设备(“用户”,如果您愿意的话)相关联。每次请求,设备都会将此cookie(以及令牌)发送到服务器。然后服务器识别该令牌并检查该令牌是否存在现有的会话。它从存储装载会话(默认情况下,该存储是文件),其内容存储在$_SESSION变量中。
默认情况下,Cookie的名称为PHPSESSID,该令牌是随机生成的散列。您可以在资源标签下的Chrome开发者控制台中检查此Cookie。
现在,由于会话及其包含的任何内容都不会暴露给用户(请记住:它在服务器上持续存在),因此存储的内容无关紧要;客户不知道。
此规则的例外情况是客户端获得对服务器的访问权限。但是,在这种情况下,您需要担心的问题更多。
还有一点要注意的是,$_SESSION是每个客户端/用户唯一的,他们不能影响对方的$_SESSION。
请注意这个解释有些简化。
现在你永远不应该做的是将敏感信息存储在cookies中($_COOKIE)。他们保存在客户端/用户!
相关问题
- 1. Zend_Acl实例的缓存(APC)是否会影响安全性?
- 2. $ _session安全性
- 3. 命名XAML中的对象是否会影响任何内容?
- 4. 它在安全性方面是否会影响哈希和加密的顺序?
- 5. 禁用右键点击是否对安全有任何影响?
- 6. 操作系统漏洞是否会影响数据库安全?
- 7. 变量是否会影响性能?
- 8. Hows是否会影响性能?
- 9. $(this)是否会影响性能,如$([selector])?
- 10. 外键是否会影响查询性能
- 11. 外键约束是否会影响Oracle中的查询转换?
- 12. 导入更多名称空间是否会影响性能?
- 13. setbuf()是否会影响cout?
- 14. 存储与出影响安全性
- 15. 实体上的Blob属性是否会影响查询性能?
- 16. WHERE子句中的字段顺序是否会影响性能?
- 17. 冗余SQL查询中的谓词是否会影响性能?
- 18. NodeJs中的评论是否会影响性能?
- 19. dict.update是否会影响函数的argspec?
- 20. CreateThread是否会影响VirtualAlloc的使用?
- 21. php5 $ _SESSION安全
- 22. JAR文件的大小是否会影响JVM的性能?
- 23. Java Visual VM是否会影响受监控的JVM的性能?
- 24. Linux上的ACL是否影响性能
- 25. 长类名是否会影响XAP文件的大小?
- 26. 使用(DBMS_RLS)Oracle行级别安全性(RLS)的性能影响?
- 27. 对象属性名称的长度是否会影响内存使用情况?
- 28. 加载不使用的.php文件是否会影响性能?
- 29. 检查java上的列表是否为空会影响性能?
- 30. Javascript。代码的位置是否会影响性能?
*“一般来说,将电子邮件地址或任何其他敏感信息存储在会话中不是一个好主意。”*您的意思是Cookie? – ficuscr
是的,饼干也是。但是OP没有询问cookies。 – TinkerTenorSoftwareGuy