Les données de session contiennent souvent des informations personnelles et d'autres données sensibles. Pour cette raison, l’exposition des données de session est une préoccupation courante. D'une manière générale, la portée de l'exposition n'est pas très large car les données de session sont enregistrées dans l'environnement du serveur, et non dans la base de données ou le système de fichiers. Par conséquent, les données de session ne sont naturellement pas exposées publiquement.
L'utilisation de SSL est un moyen particulièrement efficace de minimiser la possibilité que les données soient exposées lors de leur transmission entre le serveur et le client. Ceci est très important pour les applications qui transmettent des données sensibles. SSL fournit une couche de protection en plus de HTTP afin que toutes les données des requêtes et réponses HTTP soient protégées.
Si vous êtes préoccupé par la sécurité de la zone de sauvegarde des données de session elle-même, vous pouvez crypter les données de session afin que leur contenu ne puisse pas être lu sans la clé correcte. C'est très simple à faire en PHP, il vous suffit d'utiliser session_set_save_handler( ) et écrivez vos propres fonctions de traitement pour le stockage crypté de session et la lecture déchiffrée. Concernant la question de la zone de stockage des données de session chiffrées, voir l'Annexe C.
Ce qui précède est le contenu de l'exposition des données de session de sécurité PHP. Pour plus de contenu connexe, veuillez prêter attention au site Web PHP chinois (www. php.cn) !