水木社区手机版
首页
|版面-Web开发(WebDev)|
新版wap站已上线
返回
1/1
|
转到
主题:后端PHP的安全性问题
楼主
|
loudking
|
2015-02-17 15:32:21
|
展开
比如网站前段用Ajax向后台PHP发请求,所有查看网页源代码的用户都可以看到
PHP的文件名和参数
也就是说有心人士可以通过编程向这个PHP发送参数了来获得网站数据库的内容
了。
请问后端的PHP应该怎样设计才能保障只有注册用户才能获得资料呢?
用SESSION的话,应该只有客户端才有SESSION_ID吧?
如果每次都发送一个SESSION_ID给PHP,然后让PHP在做所有活跃SESSION的查询,会不会太浪费资源了?
谢谢
--
FROM 220.255.242.*
2楼
|
loudking
|
2015-02-17 21:32:35
|
展开
我不怀疑它的可靠性,只是觉得每次链接都需要做一次session查询太贵了
所以想知道是否有简单易行的方法。
【 在 dhcn (码农) 的大作中提到: 】
: Session碰撞这个事情好像几年前出现过一次这个漏洞。不过通常情况下很难。你看一下那个ID的长度就明白了。
--
FROM 220.255.242.*
1/1
|
转到
选择讨论区
首页
|
分区
|
热推
BYR-Team
©
2010.
KBS Dev-Team
©
2011
登录完整版