Я видел, что у codeigniter есть возможность сохранять значения сеанса в базе данных.
Он говорит, что сохранение сессии в базе данных является хорошей практикой безопасности.
Но я думаю, что сохранение информации сеанса в базе данных помогает повысить производительность.
Они сохраняют только несколько элементов сеанса, например:
CREATE TABLE IF NOT EXISTS 'ci_sessions' (
session_id varchar(40) DEFAULT '0' NOT NULL,
ip_address varchar(16) DEFAULT '0' NOT NULL,
user_agent varchar(50) NOT NULL,
last_activity int(10) unsigned DEFAULT 0 NOT NULL,
user_data text NOT NULL,
PRIMARY KEY (session_id)
);
Но если сайт использует больше переменных сеанса, таких как имя пользователя, последнее время входа и т.д., я могу сохранить их в базе данных и использовать их в программе.
Нужно ли добавлять эти столбцы в одну и ту же таблицу? Я думаю, что сохранение информации о сеансе в базе данных помогает только сократить использование памяти веб-серверов (ОЗУ). Может ли кто-нибудь объяснить, в каком смысле это повышает безопасность.
Это не улучшает безопасность.
Наиболее распространенный и разумный шаблон для хранения сеансов в базе данных - это когда у вас несколько интерфейсных серверов, поэтому для них требуется разделяемое хранилище сеансов.
Для downvoters: файл в файловой системе не менее защищен, чем запись в базе данных.
Идея состоит в том, что сеансы не могут быть захвачены.
Идентификатор сеанса хранится в файле cookie. Если хакер может украсть этот идентификатор, он может притворяться кем-то другим, потому что сеанс идентифицируется... it ID.
Сохраняя идентификатор сеанса пользователя, IP-адрес и сервер-сервер (например, ваша база данных), вы можете сравнить данные, сохраненные в базе данных с клиентом. Если хакер похищает идентификатор сеанса, у хакера может быть не только соответствующий IP-адрес и/или пользовательский агент, что делает пользователей не соответствующими, что позволяет показывать или скрывать определенный контент.
Вы должны сравнивать данные вручную, хотя.
Общей безопасности faux-pas с сеансами на основе файлов является сохранение их в /tmp или в другом общем каталоге, где данные могут быть доступны третьим сторонам; особенно на общих хостах, это может быть проблемой. Это может быть предотвращено с надлежащими правами доступа к файлам.
Сохранение их в базе данных означает, что у вас есть все ограничения доступа к базе данных на месте, хотя это также означает, что вам необходимо правильно их настроить и безопасно настроить физическое хранилище базы данных.
Это повышает производительность, поскольку сервер базы данных имеет больше уровней для повышения производительности благодаря кешированию и хранению в памяти, тогда как сеансы на основе файлов всегда требуют доступа к диску. Параллельный доступ может быть улучшен, так как вы можете выбрать другие механизмы concurrency, чем блокировку файлов. Если ваш сервер базы данных уже занят обычной работой с базой данных, хотя добавление обработки сеанса на нем может быть или не быть хорошей идеей.
Это ответ: могу ли я сохранить их в базе данных и использовать их в программе?
Да, вы можете сохранить их в базе данных, но для этого нет необходимости создавать отдельный столбец. Он входит в столбец userdata.
Вы можете установить имя пользователя с помощью
$this->session->set_userdata('sessionname',session value);
Вы можете получить его с помощью
$var=$this->session->userdata('sessionname');
Приложение должно иметь возможность запускать на нескольких серверах без (методы, которые направляют запросы от одного и того же клиента к тот же сервер). Простой способ убедиться, что сеансы продолжаются правильно работать, это хранить сеансы в центральной базе данных, которая общий для всех серверов.
Приложение должно иметь возможность запускать на общем хосте, где являются существенными проблемами безопасности, связанными с хранением сеанса данных в файловой системе.
Требования к производительности приложения очень требовательны и требуется более сложное решение для хранения данных сеанса. Там есть много существующих идей и методологий, которые обращаются к базе данных проблемы производительности, и они могут использоваться, когда сеансы хранятся в базы данных.
Вы не упоминаете, используете ли вы PHP или MYSQL, но сохранение вашей сессии в базе данных не дает вам лучшей производительности, на самом деле все наоборот.
Сеанс по умолчанию, основанный на файлах в PHP, намного быстрее, чем извлечение значений сеанса из базы данных, однако вы не заметите разницу, пока не будете обрабатывать тысячи запросов в секунду.