PHPセッションの値は、ページ1からページ2に変更できますか？

Question

私はセッションの初心者です。私はセキュリティについて懸念しています。

私の質問は、プラグインやその他の高度な方法を使って、ユーザーがpage1からpage2の値を変更できないように、Sessionsの使用が十分に安全であるかどうかです。

私の目的は、/取得してから必要なデータを取得するポストでのみIDを渡すためにセッションまたは

を介してすべての必要な変数を渡すために

の間を選択するにはどのように私の心をオフにしています データベース。

私は何をして$nameとpage2.php $_POST['name']上を提出するpage1.php中にあります。

Answer 1

セッションデータはサーバーに保存されます。これまでにユーザに送信すべき唯一のセッション関連データは、セッションIDトークンです。これは一般にランダムに生成された文字列であり、基本的に意味がありません。

ユーザーのコードでセッションの値を直接変更する方法が提供されていない限り、ユーザーがサーバーをハッキングしない限り、セッションデータを変更することはできません。

Answer 2

いいえ、「プラグイン」では変更できません。セッション変数をGET変数またはPOST変数から設定している場合、その変数はユーザーの入力から変更可能であり、不正なものになります。そのことに気をつけてください