关于session的安全性

rppig42

CI把session全部做成了cookie，那除了把session id存进数据库，还有什么办法保证session的安全性呢

我可以伪造一个cookie，里面包括 一个伪造的session_id , 一个真实存在的username, 等等

那么后台即把拥有这个cookie的客户端认为是登陆成功的合法用户

啸西风

配置文件中有这三个参数
$config['sess_expire_on_close']        = TRUE;
$config['sess_encrypt_cookie']        = TRUE;
$config['sess_use_database']        = TRUE;
将这三个参数设置成TRUE 应该有一定的效果

rppig42

啸西风 发表于 2013-4-7 12:46
配置文件中有这三个参数
$config['sess_expire_on_close']        = TRUE;
$config['sess_encrypt_cookie']        = TRUE ...

过期时间对我说的没有帮助

加密cookie 在判断出规则之后依然可以轻易伪造

session存进数据库是不错的方案，但我觉得性能开销比较大，每个http请求都得读一次数据库

啸西风

rppig42 发表于 2013-4-7 13:11
过期时间对我说的没有帮助

加密cookie 在判断出规则之后依然可以轻易伪造

说的是  所以我考虑以后 使用原始的session了