将 userId 存储在 session_id()
store userId in session_id()
(我正在寻找 php 会话安全的一些提示,但由于我完全无知,我错过了很多基本的东西。我正在做一个非常基本的网络游戏,没有登录,但我需要存储会话)
如果是安全存储 $_SESSION['logged_in'] = TRUE; ...
不安全,那么,当所有玩家都知道其他人时,将userId存储在session_id中,如session_id(userId)用户编号?如果不是,有什么区别?
安全,不安全
但这取决于上下文。当然,它与 $_COOKIE['logged_in']=true 无关,这肯定是不安全的。
但是下面的也是不安全的
session_id($user_id);
$_SESSION['logged_in']=true;
因为session_id会保存在一个cookie中,这样你就可以伪造另一个user_id。
你要记住Session变量是保存在服务器上的,cookie是保存在浏览器中的。因此,如果您将服务器视为自己的地方,它是安全的,只要您不能伪造您的身份识别 cookie 来伪造您的会话。
(我正在寻找 php 会话安全的一些提示,但由于我完全无知,我错过了很多基本的东西。我正在做一个非常基本的网络游戏,没有登录,但我需要存储会话)
如果是安全存储 $_SESSION['logged_in'] = TRUE; ...
不安全,那么,当所有玩家都知道其他人时,将userId存储在session_id中,如session_id(userId)用户编号?如果不是,有什么区别?
安全,不安全
但这取决于上下文。当然,它与 $_COOKIE['logged_in']=true 无关,这肯定是不安全的。
但是下面的也是不安全的
session_id($user_id);
$_SESSION['logged_in']=true;
因为session_id会保存在一个cookie中,这样你就可以伪造另一个user_id。
你要记住Session变量是保存在服务器上的,cookie是保存在浏览器中的。因此,如果您将服务器视为自己的地方,它是安全的,只要您不能伪造您的身份识别 cookie 来伪造您的会话。