php会话对于多租户系统是否足够安全

我正在创建一个多租户系统(第一次).我有点担心这个系统,因为应用程序的所有用户详细信息都将保存在数据库的同一个表中.当用户登录时,我计划设置一个包含其clientid的$_SESSION变量,并使用它来访问所有信息(数据库中的所有信息都将包含clientid列).

我认为这是使用PHP& amp处理多租户系统的唯一解决方案. MySQL的.这足够安全吗?或者我应该为每个客户选择单独的数据库.我担心如果客户可以改变他们的$_SESSION [‘clientid’]说从’12’到’45’这意味着他们可以访问其他人的数据.

有更好的方法吗?或者解决方案是处理多租户系统中访问数据(PHP和MySQL)的唯一方法吗?

最佳答案 PHP通过使用会话来跟踪谁是谁,而会话又使用cookie来识别服务器数据.

会话cookie就像是

PHPSESSID=0f0f0f0f0f0f0f0f0f... (32 hexits, usually)

会话数据存储在服务器端,因此用户将无法(轻松*)将其clientid更改为其他人.我说很容易,因为用户可以尝试brute-force their PHPSESSID value并获得对另一个服务器会话的访问权限(但这应该花费一段时间).

也可以使用其他策略(如XSS exploits)来发现其他服务器会话.

您可以搜索StackOverflow以获取更多信息:

> Session Fixation
> Session Hijacking
> Cross-Site Scripting

为了安全起见,请确保在没有事先清洁的情况下(通过使用HTMLPurifier或htmlspecialchars())输出用户输入,并在登录/注销或升级用户权限时调用session_regenerate_id().

点赞