PHP Lang
  1. PHP Lang
  3. Хранение данных сеанса в файлах cookie
Intereting Posts
Показать значения из таблицы базы данных MySQL внутри таблицы HTML на веб-странице PHP включен в работу cron Локализация PHP Вызовите php из javascript и верните массив из php в функцию Javascript Строковые функции PHP vs функции mbstring PHP: Mcrypt – какой режим? PHP автоматически обновляет страницу, если содержимое определенного файла изменилось Понимание простого класса с помощью магических методов изменить (упростить) заголовок темы для отображения в URL-адресе Обновить как вставить Добавить пользовательский флажок для заказа в WooCommerce JavaFX: Поместите секретный код и вычисления на серверной стороне Symfony2: переопределение createAction () в SonataAdmin импорт CSV в MYSQL через PHP .htaccess разрешает доступ и перенаправление на root index.php только для одного каталога

Хранение данных сеанса в файлах cookie

В последнее время я наткнулся на некоторые статьи, в которых предлагается использовать файл cookie для хранения данных сеанса. Мне понравилась эта идея и расширилось мое хранилище сеансов, добавив класс CookieStorage, который отлично работает (обратите внимание, что для каждого пользователя я использую уникальный хеш-ключ для шифрования и шифрования данных). Однако есть много других статей, которые предлагают не хранить конфиденциальные данные в cookie, даже если вы шифруете и подписываете значение.

Лично я не нахожу причин, почему бы не делать это особенно при шифровании и подписи значения с помощью другого ключа для каждого пользователя. Риск скомпрометирования данных такой же, как и при обычных сеансах, нет? Не говоря уже о том, что если вы используете SSL, риск для угона будет ликвидирован.

То, что я вижу в качестве преимущества при таком подходе, если данные сеанса невелики, меньше операций ввода-вывода на сервере для открытия / чтения / записи данных сеанса, независимо от того, является ли хранилище файлом, db, основано на памяти

Буду признателен за ваши отзывы по этому вопросу

благодаря

Если вы используете чисто хранилище cookie без какого-либо компонента на стороне сервера, тогда пользователь контролирует данные. Единственное, что удерживает его от этого, – это ваш метод шифрования / подписи; но это может быть атаковано. Если вы не используете ключи шифрования / подписи, специфичные для сеанса пользователя (т. Е. Вы не используете сеанс на стороне сервера), то вы в значительной степени ограничены статическим секретом. Кто-то может атаковать это в автономном режиме, пытаясь переборщить его. Как только они это сделали, они смогли обмануть всю свою сессию.

Если вы используете более безопасные одноразовые случайные секреты, хранящиеся в сеансе на стороне сервера … вы уже храните данные на серверной сессии! Почему бы не сохранить его простым и сохранить там все? Это также уменьшит потребность в пропускной способности, необходимую для передачи всех файлов cookie взад и вперед с каждым отдельным запросом.

Если вы делаете это главным образом для сохранения операций ввода-вывода на сервере: используйте более эффективное хранилище сеансов, такое как хранилище на основе memcache.

  1. Хотя в настоящее время идентификатор сеанса передается только через файлы cookie, изначально были другие способы, которые все еще поддерживаются и могут использоваться.
  2. Иногда серверу необходимо знать или изменять информацию о сеансе.
  3. Это точка из @CBroe на размер файла cookie.