session 安全吗?

登陆成功之后存入$_SESSION['openid']
注销的时候销毁这个值。openid代表着唯一的用户标识符,在系统中起着关键作用。
openid是明文传输和保存的。很容易就能伪造session吗?这样做安全吗?
如果不安全求改进方式?谢谢

解决方案 »

  1.   

    session 存储于服务器端,只通过 sessionid 与浏览器沟通
    没用伪造的可能
      

  2.   

    session 安全吗?
    安全
      

  3.   

    session是存于服务端的,所以相对来说还是安全的。
      

  4.   

    额,如果只通过sessionid做识别的话,只需要取得已经登录的用户的sessionid,就可以在别的电脑的浏览器设置cookies中的存储的sessionid。这样,也可以取得用户已经登录的状态了。
      

  5.   

    理论上是可以的,但实际很难做到,因为 session 过期后,记录会被删除 
    你只能在记录删除前作此操作
      

  6.   

    额,如果只通过sessionid做识别的话,只需要取得已经登录的用户的sessionid,就可以在别的电脑的浏览器设置cookies中的存储的sessionid。这样,也可以取得用户已经登录的状态了。你如果用过谷歌浏览器的抢火车票插件的话你就知道,他有一个copy一个url到其他浏览器的功能,直接执行就是登陆状态,他就是直接在cookie中设置session id,理论上来说别人知道了你session id是可以伪造访问的,但是一般来说别人很难获取你的session id,毕竟cookie不能跨域,oauth其实也有这种问题,token也可以伪造,但是你可以将token生成到时候将ip和浏览器名称加入进去,这样别人伪造访问的可能性就相对小一些
      

  7.   

    大家都说session和cookie不安全,可也没见到哪个高手怎么样过!都只知道光吹牛皮!
      

  8.   

    比COOKIE安全。
      

  9.   

    很多时候,总说session不安全,session可以伪造