这个问题在这里已经有答案了:
用户能否在php中更改$\u session的值(4个答案)
是否可以在客户端更改$会话变量[重复](3个答案)
两年前关门了。
在php中,使用sessions从mysql数据库获取用户信息安全吗?或者会话可以由用户操纵。
让我们以下面的查询为例。
$query = $this->db->query("SELECT `private_info` FROM users
WHERE user_id='$_SESSION['user_id']'");
如果我登录到一个网站,并且我的用户id存储在 SESSION
,(例如。 $_SESSION['user_id'] = 22
),这个可以吗 $_SESSION['user_id']
被用户操纵(eg更改 $_SESSION['user_id']
至 100
,这是另一个用户的 ID
).
上面的php查询依赖于 session[user_id]
获取用户信息时。用户可以操纵会话吗?如果可以的话,还有什么替代方法可以使用,而不是使用 user_id
存储在会话中?
另外,我使用codeigniter作为参考。
谢谢
暂无答案!
目前还没有任何答案,快来回答吧!