[英]Cakephp saving session id in cookies, is this a secure way
CakePhp將會話ID保存在cookie中,通常名為CAKEPHP的cookie包含會話id,並且在任何其他php文件中都可以使用該id啟動會話
session_id($_REQUEST['CAKEPHP']);
session_start();
我的問題是這是一種處理會話ID的安全方式,如果可以,那么現在有什么更好的解決方案呢?
會話Cookie僅對生成Cookie /啟動會話的同一域有效。
盡管另一個php頁面可能會接聽該會話,但只有在同一域中提供該cookie時,它才會接收該cookie,在這種情況下,它是您網站的“一部分”。
因此,這應該不是問題,因為(除非您有嚴重的問題)只有您才能將php文件添加/上傳到您的網站。
您應該檢查會話數據的保存位置。 app / Config / core.php中的默認“ php”會話設置會將會話數據寫入php.ini中配置的會話保存路徑。 這可能是“共享”目錄,同一服務器上的其他網站可以訪問該目錄。
為了獲得更好的安全性,請將app / config / core.php中的會話配置設置為“ cake”。 這會將會話數據寫入到app / tmp / sessions中,該數據只能由您的網站訪問。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.