这是一个创建于 1509 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,session 里保存了 用户 id,用户名和邮箱,在显示用户信息的视图页面,经常这样调用:
<?php if (!empty($_SESSION['userId']) && ($_SESSION['userId'] === $this->user['uid'])) ?> 这会有什么安全问题吗?
如果有,在视图页面,我应该如何安全的读取用户信息呢?感谢!
 | 1 Xusually 2021-08-24 14:09:19 +08:00  1 session 是保存在服务器端的,具体是存在磁盘上还是别的比如 memcache 之类的是看你 php 的环境配置: https://www.php.net/manual/zh/session.configuration.php#ini.session.save-handler 简单来说,一般情况下,服务端会在 session 开始的时候,给客户端浏览器种一个 cookie,标记 session id,以后请求的时候,带着这个 session id 过来,服务端会把这个 session id 对应的 session 的信息都保存下来。 本身 session 就是为了在服务端临时保存用户信息,交易信息什么的,你这么使用没什么安全问题。 当然如果你客户端的 cookie 被偷了,那什么都不安全了。 |
 | 2 murmur 2021-08-24 15:22:58 +08:00 没问题的,jwt 就是类似的机制,但是必须保证 uid 是加密或者可信可验证的,比如改了 uid 整个 token 解密校验不过 |
| 3 murmur 2021-08-24 15:23:54 +08:00 看错了,我以为是 cookies 中的 session 字符串 |
 | 5 kaneg 2021-08-24 21:41:57 +08:00 user id 这种不敏感的信息存在 session 是正常的做法。 |
 | 6 Rache1 2021-08-25 09:42:02 +08:00 后面这个 $_SESSION['userId'] === $this->user['uid'] ,你这个 $this->user 是凭空来的吗? |
 | 7 fatbear 2021-08-25 18:45:44 +08:00 加密,避免通过修改 cookie 导致越权 |
Select Language