PHP Steam 网络的会话安全性 API
PHP Session Security with the steam web API
我知道有很多会话安全问题,但我想知道我的具体情况是否安全。
在我的网站中,用户使用 steamWebAPI 和 openID 登录。
它向我发送 $_SESSION['steamID64'].
我使用这个steamID64作为全认证,例如:
if($_SESSION['steamID64'] == [my steam id]) {
showAdminPanel();
}
黑客能否获取我的会话 ID 并在他的 cookie 中更改它,以便网站认为他是我?
你对我有什么建议吗?
Session 是服务器端的,不能像 cookie 一样更改。 session_id 可以被黑客窃取,告诉服务器从服务器存储中为我加载特定会话。
HTTP_ONLY 会话不能被 javascript 窃取。
这似乎是登录管理员并尝试 === 这样更安全的好方法。
我知道有很多会话安全问题,但我想知道我的具体情况是否安全。
在我的网站中,用户使用 steamWebAPI 和 openID 登录。 它向我发送 $_SESSION['steamID64'].
我使用这个steamID64作为全认证,例如:
if($_SESSION['steamID64'] == [my steam id]) {
showAdminPanel();
}
黑客能否获取我的会话 ID 并在他的 cookie 中更改它,以便网站认为他是我?
你对我有什么建议吗?
Session 是服务器端的,不能像 cookie 一样更改。 session_id 可以被黑客窃取,告诉服务器从服务器存储中为我加载特定会话。
HTTP_ONLY 会话不能被 javascript 窃取。
这似乎是登录管理员并尝试 === 这样更安全的好方法。