存储会话以供会员区使用

Question

我为我的会员区创建了一个注册/登录系统。用户登录后，我想存储一个会话变量，我可以使用该变量从数据库检索与用户关联的数据。

我应该以任何方式加密变量吗？我想要作为变量的数据是用户名或 ID，哪个最好？

是否应该以任何方式以及何时重新生成会话 ID？

Answer 1

会话中的数据存储被认为是“安全”的，因此您不需要对其进行加密解密。

Answer 2

成功登录/注销后，您应该重新生成会话 ID。出于安全原因，如果用户想要执行关键操作（例如更改重要数据、删除帐户或提交订单），我建议询问用户密码。

正如 AurimasL 所说，您不必担心服务器端的会话数据。如果您在共享主机上，我建议您阅读此内容，因为存在一些安全方面的问题： http: //phpsec.org/projects/guide/5.html

Answer 3

会话 ID 像 cookie 一样存储在客户端计算机上，并针对每个请求传递回服务器。这就是 PHP 在收到请求后确定将哪些信息加载到会话中的方式。

由于会话存在于服务器上而不是客户端上，因此您只需要担心会话劫持关于其中存储的信息是否安全。您的问题的答案是否定的，我不会尝试加密会话中存储的信息。

Answer 4

只需在下面的评论中添加，

请记住，创建会话对于您的服务器应用程序来说是昂贵的。有时，将 id 存储在会话中，将其他信息存储在 cookie 中（不需要像用户名一样安全的信息）是一个好主意。