Je suis assez nouveau sur PHP et j'utilise $ _SESSION pour stocker les détails des utilisateurs actifs. Cependant, quelques personnes m'ont dit que c'était dangereux. Est-ce vrai?Sécurité de session PHP
je stocke normalement ce qui suit dans la session PHP:
Si cela n'est pas sûr, quelles sont les autres méthodes sécurisées?
Merci.
Ils sont dangereux selon le type de stockage. Une méthode sécurisée consisterait à utiliser des gestionnaires de session personnalisés (via session_set_save_handler) et à stocker les informations "dans un endroit sûr" (c'est-à-dire pas en tant que fichiers de session dans le répertoire /tmp lisible globalement).
Dépend. Si vous êtes sur un hébergement partagé et que vous utilisez le gestionnaire de session de fichiers par défaut, il se peut que quelqu'un d'autre puisse les lire. C'est le seul risque dont je suis conscient. Cependant, les hôtes partagés configurés comme ceci sont mieux à éviter car les utilisateurs peuvent alors lire tout ce que vous avez, comme la configuration de la base de données et par conséquent ...
Fonctionnement d'un VPS. – ritch
Jetez un oeil à http://php.net/manual/en/session.security.php et assurez-vous de suivre le lien le plus en haut. – etarion