PHP会话是否无法从用户端更改?
13 浏览
PHP会话是否无法从用户端更改?
我正在开发自己的应用程序,需要用户登录。所有用户和密码(加密)存储在数据库中。当用户尝试登录时,它会在数据库中搜索用户名和密码。如果一切正常,我会将username存储在$_SESSION["username"]中,将用户role(管理员、等)存储在$_SESSION["role"]中,并将用户website存储在$_SESSION["website"]中(我需要存储网站,因为应用程序是“多站点”的 - 我的应用程序托管在客户主机上,但管理在我的服务器上)。
我阅读了这篇文章Can a user alter the value of $_SESSION in PHP?,但我不明白。这种方法(存储数据和用户是否登录的方法)在$_SESSION中是否安全?用户可以更改会话内容吗?(例如,如果用户已登录且$_SESSION["website"]为“example.com”,用户可以将会话$_SESSION["website"]更改为“example.org”以破坏另一个网站吗?如果可以,如何避免或使用什么安全的会话替代方法?)
请告诉我什么是会话劫持,以及它如何影响我的网站,还有如何动态更改session_id?
非常感谢!