将 PHPSESSID 存储到数据库中是否很糟糕？

Posted 2023-02-24

【中文标题】将 PHPSESSID 存储到数据库中是否很糟糕？

【英文标题】：Is it bad to store PHPSESSID into database?将 PHPSESSID 存储到数据库中是不是很糟糕？

【发布时间】：2020-01-29 19:45:19

【问题描述】：

出于记录目的，我必须将客户端 phpSESSID 存储到数据库中。

假设会话已过期，是否有与此相关的不良做法？有人可以通过阅读列表来预测 PHPSESSID 吗？

很高兴听到这可能导致安全问题的任何情况。

【问题讨论】：

“出于登录目的，我必须将客户端 PHPSESSID 存储到数据库中。” - 为什么“必须”？正确解释这样的事情，而不是假装它是绝对不变的。

What is the correct and safe/secure way to keep a user logged in? cookies? session? PHP && mysql的可能重复

【参考方案1】：

人们可以设置 PHPSESSID，因为它们存储在本地，这意味着在任何形式的安全措施中使用都是不安全的。

请看这个：What is the correct and safe/secure way to keep a user logged in? cookies? session? PHP && MYSQL

【讨论】：

目的不是让用户保持登录状态。我只是想知道知道用户过去的 session_id 是否有任何可能的问题。