后端PHP的安全性问题

水木社区手机版

主题:后端PHP的安全性问题
楼主|loudking|2015-02-17 15:32:21|只看此ID
比如网站前段用Ajax向后台PHP发请求，所有查看网页源代码的用户都可以看到
PHP的文件名和参数

也就是说有心人士可以通过编程向这个PHP发送参数了来获得网站数据库的内容
了。

请问后端的PHP应该怎样设计才能保障只有注册用户才能获得资料呢？

用SESSION的话，应该只有客户端才有SESSION_ID吧？

如果每次都发送一个SESSION_ID给PHP，然后让PHP在做所有活跃SESSION的查询，会不会太浪费资源了？

谢谢
--
FROM 220.255.242.*
1楼|dhcn|2015-02-17 16:55:18|只看此ID
Session碰撞这个事情好像几年前出现过一次这个漏洞。不过通常情况下很难。你看一下那个ID的长度就明白了。
【在 loudking 的大作中提到: 】
: 比如网站前段用Ajax向后台PHP发请求，所有查看网页源代码的用户都可以看到
: PHP的文件名和参数
: 也就是说有心人士可以通过编程向这个PHP发送参数了来获得网站数据库的内容
: ...................
--
FROM 123.66.175.*
2楼|loudking|2015-02-17 21:32:35|只看此ID
我不怀疑它的可靠性，只是觉得每次链接都需要做一次session查询太贵了

所以想知道是否有简单易行的方法。

【在 dhcn (码农) 的大作中提到: 】
: Session碰撞这个事情好像几年前出现过一次这个漏洞。不过通常情况下很难。你看一下那个ID的长度就明白了。
--
FROM 220.255.242.*
3楼|dhcn|2015-02-18 09:16:02|只看此ID
这就是默认的认证授权机制，你自己再标新往往得不偿失，而且也不是每次都查，需要授权认证的页面才查。
【在 loudking 的大作中提到: 】
:
: 我不怀疑它的可靠性，只是觉得每次链接都需要做一次session查询太贵了
:
: ....................
--
FROM 123.66.183.*
4楼|tuya0o|2015-02-18 14:19:44|只看此ID
session开销只有高并发才需要考虑
嫌高formhash校验
--
FROM 60.181.141.*
5楼|Mikov|2015-02-21 00:46:31|只看此ID
就是用session, 你的网站并发高到何种程度, 需要担心session的消耗?

【在 loudking (荷籍华人|CBD = China Born Dutch) 的大作中提到: 】
: 比如网站前段用Ajax向后台PHP发请求，所有查看网页源代码的用户都可以看到
: PHP的文件名和参数
: 也就是说有心人士可以通过编程向这个PHP发送参数了来获得网站数据库的内容
: ...................
--
FROM 60.166.184.*
6楼|blyw|2015-02-23 14:27:33|只看此ID
应该只是有点代码洁癖吧
【在 Mikov (Mikov Chain) 的大作中提到: 】
: 就是用session, 你的网站并发高到何种程度, 需要担心session的消耗?
--
FROM 113.87.212.*