您好我有一个与安全相关的问题我允许用户登录并注册我的问题是当用户登录我的脚本时只设置会话没有cookie所以只依靠不在cookie上的会话是否安全?或者我同时使用cookies和会话?
答案 0 :(得分:2)
PHP会话使用cookie来跟踪会话的ID。因此,它是安全的,因为您实际上正在使用cookie。
值得注意的是,您应该尝试阻止session-hijacking - 您可以通过验证用户的IP以及$_SESSION对象中的其他内容来实现此目的。
修改
我建议你阅读this。引用:
session_start()函数生成随机会话ID并存储 它在用户计算机上的cookie中(这是唯一的会话 实际存储在客户端的信息。)默认值 cookie的名称是PHPSESSID,虽然可以在 服务器上的PHP配置文件(大多数托管公司都会 但是,请不要管它。)在PHP中引用会话ID 因此,您将引用变量$ PHPSESSID(它是一个 饼干名称;还记得来自Cookies吗?)
注意:将其存储在Cookie中