当用户登录时,我使用以下策略来验证用户：

>用户名和密码以及唯一的令牌和会话标识符存在于数据库中
>如果上面的返回值为true,则设置会话变量$_SESSION [‘logged_in’] = true
>在每个页面(basecontroller)检查是否($_SESSION [‘logged_in’]> 0)否则重定向到登录页面.

是否有可能黑客可能以某种方式设置$_SESSION [‘logged_in’] = true; ？上述策略是否存在安全问题？

请给我一篇文章或任何可以帮助我提高安全性的文章.

解决方法:

会话存储在服务器上,因此用户无法修改会话中的任何内容,除非他闯入您的服务器 – 在这种情况下,他显然可以运行$_SESSION [‘logged_in’] = true;或执行任何其他规避您的代码中的安全措施.

存储在客户端的唯一内容是会话ID cookie.这是一个随机的32个字符的哈希,不包含任何数据.