有没有办法让客户端看到$_SESSION中的内容？

Question

我需要把一些重要的数据放在PHP的$_SESSION变量上，想知道这些数据是否安全。客户端是否能够看到此$_SESSION变量中的信息？在会话中存储敏感数据是否有任何安全隐患？

Answer 1

实际上，您应该采取措施使会话更加安全。

1)仅通过httponly cookie使用会话id，通过url禁用会话id。

2)将session_save_path设置为公共索引之外的新位置。如果您在共享主机上。他们不能使用会话注入来查看会话中的内容。更好..。使用数据库作为会话处理程序..

3)禁用http方法跟踪，跟踪，你的user服务器的头，如果攻击者可以包括一些java，闪存或ajax的用户http cookie也可以被窃取。

4)锁定IP用户代理或某种指纹上的会话...

5)在所有请求上更新session_id，使会话id更难强制

Answer 2

不能，客户端不能看到会话数据，因为它存储在服务器端。但是：

如果您在共享服务器上，则与您共享该服务器的其他人也可以访问该服务器。

此外，使用存储在客户端cookie中的会话ID将会话数据绑定回用户。如果鲍勃能得到爱丽丝的饼干，他就能冒充她。

如果我不提出一些解决方案，我想我的答案是不完整的，所以：

要解决第一个问题，您应该将加密数据存储在会话中。

要解决第二个问题，您还应该比较其他内容，如IP地址，以确保Bob没有试图使用别人的cookie。这样，如果Bob窃取了Alice的cookie，您可以将Bob的IP与您存储在会话中的Alice的IP进行比较，并找到不匹配的IP。