关于session的安全性
CI把session全部做成了cookie,那除了把session id存进数据库,还有什么办法保证session的安全性呢我可以伪造一个cookie,里面包括 一个伪造的session_id , 一个真实存在的username, 等等
那么后台即把拥有这个cookie的客户端认为是登陆成功的合法用户
配置文件中有这三个参数
$config['sess_expire_on_close'] = TRUE;
$config['sess_encrypt_cookie'] = TRUE;
$config['sess_use_database'] = TRUE;
将这三个参数设置成TRUE 应该有一定的效果 啸西风 发表于 2013-4-7 12:46 static/image/common/back.gif
配置文件中有这三个参数
$config['sess_expire_on_close'] = TRUE;
$config['sess_encrypt_cookie'] = TRUE ...
过期时间对我说的没有帮助
加密cookie 在判断出规则之后依然可以轻易伪造
session存进数据库是不错的方案,但我觉得性能开销比较大,每个http请求都得读一次数据库 rppig42 发表于 2013-4-7 13:11 static/image/common/back.gif
过期时间对我说的没有帮助
加密cookie 在判断出规则之后依然可以轻易伪造
说的是所以我考虑以后 使用原始的session了
页:
[1]