在 PHP $_SESSION 中存储数据不安全吗？

Question

根据我的理解，PHP 进程的行为并不像应用程序服务器进程。因此，执行脚本后，PHP 进程不会保留任何用户特定数据。相反，它将它们存储在用户的 cookie 中。因此，我们在 $_SESSSION 中存储的任何内容都会进入 cookie。这是真的吗？如果是，那么它们是以明文形式存储的还是进行了某种编码或加密？

Answer 1

不，会话 cookie 中唯一包含的是会话 ID——一个随机的字母数字字符串。所有会话数据都存储在服务器上的一个文件中（使用默认会话处理程序，尽管您可以覆盖以将数据存储在任何地方/任何您想要的方式）。

Answer 2

不，那不是真的。会话 cookie 中仅存储会话 ID。会话数据全部存储在服务器端（尽管默认情况下以纯文本形式）。

Answer 3

存储在客户端计算机上的“cookie”是会话 ID。 “会话”本身驻留在服务器上。当在会话期间请求页面时，会话 ID 会附加到查询字符串中，这让服务器知道要为此请求加载哪个会话。

除非会话 ID 被盗（并且会话被“劫持”），否则会话是安全的。您可以通过在会话中存储创建会话的 IP 地址和用户代理字符串并将它们与每次页面访问的请求 IP 地址和用户代理字符串进行比较来防止这种情况（在某种程度上）。请记住，这些依赖于 HTTP 标头并且可能被欺骗。

Answer 4

Cookie 只是存储在客户端中的标识符。这些将通过每个 HTTP 请求提供给服务器。然后，服务器将 cookie 标识符与存储的数据进行匹配，并检索 $_SESSION 的正确值。