我有一个要改进其安全漏洞的Web应用程序,我阅读了许多有关它的文章,但仍有一些问题尚未解答。感谢您的帮助。
首先,我有一个登录屏幕。用户输入其凭据后,将根据数据库对它们进行检查(将它们正确地进行了哈希处理;)),如果成功,则服务器将创建一个会话变量。
//Jhon id = 1 $_SESSION["userID"]= '1';在每个php文件(例如,dashboard.php)的开头,我都有以下代码:
session_start(); if(isset($_SESSION['userID'])) { if($_SESSION["userID"]==""){header("location:login.php");} }else{ header("location:login.php"); } ?> <html ...为了改善维护,我想将此代码包含在外部php文件中,例如
include('inc/restricted.php'); ?> <html ...我的两个主要问题是:
1)如果入侵者处理损坏或拒绝对strict.php的访问,那么dashboard.php的其余部分是否会显示?可以做这样的事情吗?如果是的话,我该如何解决将安全代码作为外部文件包括在内的方式?
2)如您所见,我的会话变量的值很简单(整数),我应该将它们更改为哈希值吗?我以为php会话存储在服务器端,但是我读到一些存储在cookie上的php会话变量,现在我担心用随机数创建一个cookie并授予访问权限的可能性。
我有一个要改进其安全漏洞的Web应用程序,我阅读了许多有关它的文章,但仍有一些问题尚未解答。我感谢您的帮助。首先,我有一个登录名...