在 PHP 会话变量中存储用户授权级别安全吗？

PHP 会话变量安全问题

问题陈述：
验证后将用户授权级别存储在 PHP 会话变量中是否安全登录凭据并对角色执行附加查询

答案：

虽然会话比 cookie 更安全，但它们仍然容易被盗。要降低此风险，请考虑采取以下措施：

IP 检查：

• 在登录期间跟踪用户的 IP 地址。
• 比较 IP后续请求期间的地址，以防止未经授权的会话访问。
• 请注意，由于动态 IP，此方法可能不可靠

随机数（使用一次的数字）：

• 为每个页面请求生成唯一的令牌。
• 比较存储在会话变量中的随机数为当前页面生成的随机数。
• 这可以防止会话劫持确保请求源自用户的浏览器。

其他注意事项：

• 使用安全存储在服务器端会话存储中的会话 ID。
• 避免将用户凭据存储在会话变量中。
• 实施安全性检查每个脚本请求，即使不使用 cookie。
• 请注意，如果 cookie 被盗，结合 cookie 和 AJAX 可能会增加漏洞。
• 定期审查和更新会话管理实践，以解决潜在的问题安全威胁。

以上是在 PHP 会话变量中存储用户授权级别安全吗？的详细内容。更多信息请关注PHP中文网其他相关文章！