Mam w mojej witrynie panel administracyjny, z którego jamogę się zalogować, aby zarządzać moją witryną, i do uwierzytelnienia logowania, używam kodu, który sprawdza, czy nazwa użytkownika i hasło istnieją w dB, a jeśli tak, ustawiam zmienną na true tak: $ _SESSION ["admin_logged"] = true;
Chcę wiedzieć, czy ta droga jest bezpieczna, czy nie. Bo słyszałem gdzieś, że zmienne sesji można skradzić lub powąchać, czy coś w tym stylu. ale naprawdę nie mam pojęcia, co to znaczy. A jak ktoś może ukraść zmienne podczas ich zapisywania po stronie serwera? I jeśli to możliwe, jak mogę temu zapobiec. Z góry bardzo dziękuję.
Odpowiedzi:
0 dla odpowiedzi № 1Zmienne sesji PHP są przechowywane na serwerze. Klienci lub porywacze nie mieliby bezpośredniego dostępu do przechowywanych informacji, więc przechwytywanie nie jest takie łatwe bez fizycznego dostępu do komputera klienta. Ta metoda powinna być wystarczająco bezpieczna, ale dla większego bezpieczeństwa możesz również uwierzytelnić sesję i adres IP Dowiedz się więcej tutaj