將$_SESSION經(jīng)過函數(shù)加密后的安全性?

將$_SESSION經(jīng)過函數(shù)加密后存儲到客戶端cookie中，如果被其他人拿到cookie，再用相應(yīng)的函數(shù)解密就能獲取用戶信息了。所以是否加密后安全性依然不高呢？

_Jack_Han_

2017-02-28

源自：PHP進階篇 4-8

關(guān)注問題我要回答

1132

操作

收起

2 回答

金澤城回答被采納 +3 積分
2017-03-10

web 的安全性本來就不高，在此例中，安全性全依賴于1、加密秘鑰；2、加密算法；也就是說賭破解者猜不到這兩項；

其實拋開這個 cookie 不提，你看一下我們平時登錄各種網(wǎng)站時輸入的用戶名密碼，那個更加不安全，很多網(wǎng)站都是明文post的，就算是客戶端做了加密，js里的加密算法在客戶端就能看到，所以完全無安全性可言，所以為什么銀行和支付寶一類的對安全性要求很高的網(wǎng)站都有自己的安全控件，就是為了屏蔽加密算法（封裝在他自己的控件里），另外一個方法就是使用https協(xié)議。