php – 安全覆盖超全球$_SESSION?
作者:互联网
用专门的会话对象覆盖超全局$_SESSION是否安全?
class SessionObject implements ArrayAccess { ... }
...
// Session data has just been deserialised from store.
$_SESSION = new SessionObject( $session_data );
...
// Using session object...
$_SESSION['key'] = 27;
$x = $_SESSION->get_data('key2', 'default-value');
解决方法:
虽然这可行,但我不认为这是明智的行为.在我看来,最少意外的原则适用于编程和用户界面设计.如果你在脚本中覆盖了$_SESSION的默认行为,那将会让一些未来必须处理代码的程序员感到困惑.
我认为以这种方式滥用$_SESSION的超全球性质是一种破坏 – 而且是一种不愉快的行为.
在我看来,更好的方法是使用静态方法编写一个类来获取和设置数据:
class Session {
public function get($key, $defaultValue = null) {
// do some code to get the value for $key, and return $defaultValue if there is none
}
public function set($key, $value) {
// do some code to set $key
}
}
然后,您可以使用Session :: get(‘someKey’)或Session :: get(‘someKey’,’default’)和Session :: set(‘someKey’,’someValue’)来访问它.
由于类本质上是全局的,因此您可以从代码中的任何位置访问它.它不那么令人惊讶,并且会减少混乱.
如果由于某些设计原因确实想要使用对象方法,则最好实现Singleton模式.
标签:php,session,session-state,superglobals 来源: https://codeday.me/bug/20190610/1210575.html