如果 session 保存在数据库,cookies 中的 session_id 还需要加密吗?
gaicitadie · 2014-04-02 17:51:17 +08:00 · 3979 次点击这是一个创建于 3871 天前的主题,其中的信息可能已经有所发展或是发生改变。
取session的流程:
1、取客户端保存在cookies中的session_id
2、解密过的session_id(如果不加密,这步省略)
3、根据session_id到数据库取session数据
为了防止黑客伪造session_id,可以把session_id加密保存在客户端,这样黑客就猜不出来session_id了。
但是,如果用随机生成的一段字符串作为session_id,保存在客户端黑客也猜不到啊,这样也省去了服务器端加密解密的环节
1、取客户端保存在cookies中的session_id
2、解密过的session_id(如果不加密,这步省略)
3、根据session_id到数据库取session数据
为了防止黑客伪造session_id,可以把session_id加密保存在客户端,这样黑客就猜不出来session_id了。
但是,如果用随机生成的一段字符串作为session_id,保存在客户端黑客也猜不到啊,这样也省去了服务器端加密解密的环节
目前尚无回复
Select Language