有人建议我使用会话进行跨页面存储,并通过将会话 ID 存储在 GET 参数或 cookie 中来维护会话 ID。
将数据保存到会话中并使其永久存在(如登录信息)的最安全方法是什么?
【问题讨论】:
会话是 PHP 中的标准功能。从this page 开始阅读有关如何在 PHP 中处理会话的一些详细信息。无论如何,请注意,即使会话也不是 100% 安全的。甚至关于会话也存在许多安全问题(您可以阅读有关 session security、Session Fixation、Session Poisoning 的内容以了解会话的安全含义)。
【讨论】:
不确定我是否完全理解您的问题,但您可能混淆了两件事。 sid GET 参数在禁用 cookie 时用作备用会话 ID。 GET 参数和 cookie 做同样的事情,但是在 cookie 中存储会话 ID 不会使 URL 混乱,这就是为什么这是首选方法。
当您在 PHP 中使用 $_SESSION 存储会话数据时,数据会仅在内部存储。它不会传输到用户的浏览器。只有包含会话 ID 的 cookie(或 sid)才会离开服务器。
【讨论】:
cookie 和 session 的主要区别在于 session 数据存储在服务器端,而 cookie 数据存储在客户端。但由于在服务器和客户端之间发送敏感数据意味着重大的安全问题(数据篡改、窃听等),因此数据应该存储在服务器端。
但是要将客户端与会话相关联,您需要某种标识符。这就是会话 ID 开始使用的地方。因为由于 HTTP 是 stateless(即每个请求都是一个独立的事务,与任何先前的请求无关),所以没有本地方法可以仅通过请求来识别客户端。
因此,您无需将数据存储在客户端的 cookie 中并随每个请求发回,您只需将会话 ID 存储在客户端并随每个请求发回即可。这更加安全,因为敏感数据不会通过网络发送。发送的只是会话 ID(在这里您也可以使用 URL 或 cookie)。
但现在,由于会话 ID 是将客户端与会话相关联的唯一信息,因此会话 ID 已成为某种需要保护的敏感数据。在这里你需要某种session authentication and management 来避免对会话的攻击。
【讨论】:
想象一个社区,用户发布链接和外部图片。
为了使会话保持活动状态,页面使用 GET 而不是 cookie。
所以:用户观看外部图片或点击外部链接。 外部资源的所有者现在可以读取 REFERER,通过它他可以看到会话 ID 并劫持会话。
这就是为什么大多数社区和类似页面在页面和外部资源之间放置一个代理,如果 SESSION-ID 是通过 GET 存储的,它们会剥离它。<edited/>
【讨论】: