我正在使用 Codeigniter 开发一个 Web 应用程序。当用户通过我的网站进行身份验证时,我当前将他们的“用户标识符”存储在我的会话 cookie 中(我已启用加密)。我的几个模型类使用会话/cookie 的“用户标识符”参数中的值来更改用户帐户的属性。
我担心的是,我想知道是否有人可以使用我设置的用户标识符获取有效的 codeigniter-session cookie,将用户标识符的值更改为其他用户的值,然后进行更改另一个用户的帐户。如果有人尝试更改会话 cookie 的属性,codeigniter/php 会话会产生错误吗?
打开 /application/config/config.php,找到“sess_use_database”并将其更改为“TRUE”(如果尚未更改)。这样,所有会话变量将存储在数据库表中,并且会话 cookie 将仅包含会话 id 字符串。
为了增加安全性,您还可以将“sess_match_ip”更改为 TRUE。这样,如果有人窃取您用户的 cookie 并尝试将其作为自己的 cookie 传递,会话将被破坏。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)