匿名会话安全吗？答案

【问题标题】：are anonymous sessions secure?匿名会话安全吗？
【发布时间】：2013-06-12 20:16:06
【问题描述】：

我是网页设计新手。我担心的是，如果我通过会话跟踪匿名用户以保持正确的语言等，那么我会为每个访问我的网站的用户保存数据（例如 2 KB）。那么它不会使我的网站容易受到攻击用户通过创建虚假会话来溢出会话存储的内存吗？

谢谢

【问题讨论】：

【解决方案1】：

为什么不使用本地存储、cookie 或其他解决方案来代替会话？我并不是说那是最好的解决方案，但 cookie 可能是保持偏好的更好解决方案。它们“可能”比会话更持久，并且在服务器端的强度更低。

【讨论】：

在大多数设置中，您仍然会为每个 cookie 获得一个会话，用于传播 id。
正确但不是“每个 cookie”而是每个客户端会话。但至少您不会在该会话中添加任何其他内容，将所有信息保留在客户端 cookie 中。此外，通过不使用会话 cookie，您可能会将信息保留更长时间。免责声明：我不是滥用饼干的狂热粉丝。只是说。

【解决方案2】：

PHP 默认将会话保存到磁盘；它仅在程序实际运行时才在内存中，所以如果您有很多访问者同时，这只会是内存问题 - 即在同一台服务器上同时运行您的 PHP 代码.

但是与整个 PHP 进程使用的内存相比，会话数组使用的内存量很小，因此，如果您有足够的同时访问者会导致问题，那么每个人都不太可能有一个会话其中的一些会产生很大的不同。

减轻这种情况的真正方法是让您的程序运行得快，以便它们快速退出，从而减少同时运行大量副本的可能性。

【讨论】：

这种攻击对于专业程序员来说严重吗（有什么名字可以搜索吗？），或者我应该完全跳过考虑。
嗯，大量访问者可能是因为您的网站非常受欢迎（在这种情况下，您需要增加服务器资源来应对）或者是 DoS（“拒绝服务” ) 攻击，在这种情况下，您需要有一个优秀的系统管理员来处理这些问题（编程并没有真正涉及，除了让您的代码尽可能快速和精简地执行，以便它可以更好地应对并编写防御性代码这样程序中间的“内存不足”之类的致命错误就不会破坏程序，但无论如何你都应该这样做）。