我一直在使用超全局$_SESSION
很多和重。
然而,情况是这样的:
一旦用户登录我要跟踪他的ID(MySQL表)的。我可以很容易地插入 的ID为$_SESSION['id'] = $user_id;
毕竟我可以使用跨页变量在我的网站。我的想法是 - 用户可以将ID欺骗到另一个。如果我看到有一个简单的数字,那么我可以稍微改变一下,看看会发生什么 - 我想要防止这种情况,因为它可能会导致很多问题,因为用户ID将用于添加,删除,编辑数据库中的条目。
难道session_regenerate_id()
恰好足以让我的会话免于劫持?
结论: 的Cookie只存储会话识别器 - 所有值都在服务器上,永远不会传递到客户端。 Read about session fixation/hijacking on StackOverflow
是什么让你认为存储在'$ _SESSION'中的变量被发送到客户端? –
什么都没有。我相信在cookie中的客户端只有某种类型的哈希与$ _SESSION合作。 我可能写错了我的问题 - 我会更新。 –