在 PHP 中安全地保存会话数据

Question

我试图了解会话在 PHP 中的工作原理，发现会话数据默认存储在文件系统中。在共享托管环境中，任何用户编写的 PHP 脚本都可以读取会话数据。如何防止这种情况发生？

Answer 1

您可以覆盖脚本的会话保存处理程序以使用文件系统以外的其他内容，例如数据库或内存缓存。这是详细的实现：http://phpsec.org/projects/guide/5.html

Answer 2

取决于您对 php.ini 文件的访问级别 - 如果您位于运行 suPHP 的共享主机环境中并允许您拥有自己的 php.ini 文件（例如），那么您只需设置会话即可。 save_path 到类似 ~/tmp 的路径，而不是通常共享的 /tmp 。

首先，我不认为您实际上可以从其他应用程序读取 php 会话数据。我相信这对于观看它的人来说是相当独特的。

最后php的Session数据不只是文件系统保存而已。还可以将其设置为保存在用户计算机上的 cookie 中，或者您可以将 php 会话数据设置为存储在数据库中。

Answer 3

编写您自己的 SESSION 包装器。

例如，CodeIgniter 的 会话库 不依赖于 PHP 的本机库，而且更安全：

注意：Session 类不使用本机 PHP 会话。它生成自己的会话数据，为开发人员提供更大的灵活性。

Answer 4

您可以使用 session_save_path() 更改会话数据目录至未共享的一个。

Answer 5

使用 session_save_path() 并更改会话文件夹，例如“/htdocs/storage/sessions”。现在会话仅保存到您给定的路径。