私は$ _SESSION変数を信頼することができますか、ユーザーがサーバーへのアクセスを取得していない場合、私は書いているアプリケーションで(サーバー側ではなくクッキーではない)セッションを使用していますか?
注:
私は私のデータベースにクエリの数を制限しようとしている。現在、私はすべてのページのロードのデータを検証しています、と私は」、私はおそらくクエリをなくすことができることを考え、私は100%確実にしたいです。ServerSideセッションは安全ですか?
はい、セッションに安全に保存できます。 Validationメソッドが安全であることを確認する必要があります。 (セッションに保存する前に使用する方法)。
セッションが安全な場所に保存されていることを確認するだけです。デフォルトでは、セッションはlinuxの/ tmp /のような場所に保存されます。ユーザーがサーバーにアクセスできる場合は、セッション変数を編集できます。
セッションをデータベースに保存したり、セッションにハッシュ計算(md5 +シークレットシード)検証を追加したり、そのハッシュに対してセッション変数が変更されていないことを常に確認してください。
ライブWebサーバ上に「ユーザ」があり、セッションファイルを編集できる場合、その船はすでに消滅しています。 BTW Unkwntechは、DBクエリーの数を最小限に抑え、ユーザーがセッションファイルを編集できるように「簡単に」データベースにアクセスできるようにしたいと考えています。 –
ところで、セッションに保存する情報によって異なります。私たちはUserオブジェクト全体をセッションに保存します。これは、ユーザーが情報を更新したときなどにセッション/データベースのデータを同期させるために、「リフレッシュ」メソッドが必要であることを意味します。 – Ropstah
これは私が現在ユーザーオブジェクトを検証しているデータとまったく同じです。 – UnkwnTech