PHPセッションデータは安全ですか？

Question

セッションパラメータを使用して、検証済みのデータがあるPHPページから別のPHPページに渡されるとします。

2番目のphpページで、このセッションデータはまだ最初のPHPページで検証されたデータであることを確認できますか？私が理解していることから、セッションデータはユーザーのコンピュータのクッキーに保存されています。では、ユーザーがセッションのCookieに破損したデータを挿入しないようにするにはどうすればよいでしょうか？

私のシナリオでは、2番目のページに渡されたデータがすでに検証されているという事実に頼る必要があるためです。

したがって、検証されたデータをあるページから別のページに安全に渡すにはどうすればよいですか？事前に

多くのおかげで、 Floのセッションデータを格納しないでください

Answer 1

セッションデータ自体はサーバー側に格納されています。クライアントのコンピュータに格納されている唯一のものは、一意の識別子を持つCookieです。そのため、サーバーはサーバー側で読み込むセッションを認識しています。

ユーザーはセッション自体に格納されたデータを操作することはできません。その意味で、セッションは安全です。

もちろん、Cookie自体はユーザーから盗まれ、別のユーザーが使用する可能性があります（「セッションハイジャック」と呼ばれる方法）。たとえば、セッションをIPアドレス、ブラウザのバージョンなどにロックしたり、HTTPSを使用して接続を盗聴しているユーザーから保護したりすることで、ユーザーを保護することができます。

Answer 2

はクッキーがサーバ側$ _SESSION []にセッションデータを.Storeである。第2のページのチェック場合に、今の例

<?php 
session_start(); 
// VALIDATION CODE 
$_SESSION['name'] = 'Validation name'; 
?> 

のためにこのセッションが設定されているかどうか。設定されている場合、ユーザーは有効になります

<?php 
session_start(); 
if(isset($_SESSION['name'])){ 
// USER IS VALIDATED 
}else{ 
// UNAUTHORiZED Access 
} 
?> 

これはサーバー側であり、何度も何度も検証する必要はありません。 ありがとう

Answer 3

私が理解したところでは、セッションデータはユーザーのコンピュータのクッキーに保存されています。

これはありません。

セッションデータは、サーバーに保存され、Cookieを使用して特定のユーザー+ブラウザーに関連付けられます。

クッキーユーザーが唯一編集することによって：

• アクセス他の誰かのクッキーを（非常に低い）
• セッションもあることに注意

新しい空のセッションを取得クッキーは、クライアントにデータが格納される場所です。これは、ブラウザが終了したときに期限切れになる有効期限のない通常のCookieです。このタイプのクッキーは、通常、セッションIDをクライアントに格納するために使用されます。

Answer 4

セッションデータは、2ページ

// Page1.php 
// Set the session on page 1 
session_start(); 
$_SESSION['myValue'] = 'secure_value'; 

// Page2.php 
// Get the session on page 2 
session_start(); 
$validValue = $_SESSION['myValue']; 

上の同じデータになり、1ページの検証データを想定して保存されますので、このように、ユーザは、セッション中に何かを編集することはできません、サーバー側のみに保存されています

重要な情報をクッキーに保存しないでください。クライアント側に保存されているので、&を変更できます！