问题描述
我看过一个 PHP 安全教程,其中说由于会话劫持和固定,从不接受来自 GET 或 POST 变量的 $_SESSION 标识符。令人讨厌的是,它并没有详细说明这一点。
在我正在构建的应用程序中,我有一个 $_SESSION 值,它是用户登录时设置的 $username 变量。该值取自数据库,但稍后通过 URL 参数在 GET 请求中使用:
$_SESSION['username'] = $username;
注意:$username 和所有其他数据会在进入数据库时进行清理,并在从数据库中提取时进行转义。
上面的会话名称是真正的禁忌吗?如果这确实是不好的做法,我是否应该使用数据库中的用户 ID 或从未公开显示的类似信息(例如在 url 参数中)?
使用 $username 变量很方便,因为我也通过 $_SESSION 值在 url 参数中使用它,示例如下:
<a href='<?PHP echo "profile.PHP?username={$_SESSION['username']}"; ?>'>My Profile</a>
当用户登录时,实际会话 ID 会使用 session_regenerate_id(true); 重新生成,因此每次用户通过身份验证时每个会话的 ID 都会更改。
任何建议将不胜感激。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)