我有点担心使用Phalcon提供的会话适配器。在文档中,它说"此适配器将会话存储在纯文件中",这是否意味着它将会话数据存储在访问者计算机或应用程序主机上?
此外,这种存储登录信息的方法安全吗?我应该使用默认的会话适配器,还是应该使用更多类似于将会话存储在 MySQL 、REDIS、Memcache 或 Mongo 中的东西......
安全通常不是关于它是否存储在数据库中(主要是因为数据库实际上比文件系统更容易进入),而是磁盘上的数据是否以安全的方式存储,即加密/哈希。
默认适配器将会话存储在服务器中,/tmp或正常C:'temp。
当然,99.99% 的时间您不应该在会话中存储需要加密的极其敏感的信息,事实上,在某些国家/地区(英国),在会话对象中长时间存储此类敏感信息是违反 ISO 标准的。请记住,会话不是不可渗透的,它们可以被劫持,即使添加了安全措施,它们也一直存在;对于直接接触最终用户的东西,您可以采取的预防措施只有这么多(请记住,PHP 会将会话 ID 存储在 cookie 中,并且大多数恢复会话的验证都是基于 cookie 的)。
您应该尝试将其存储在cookie中,因为这是一天结束时唯一大致安全的会话;其中的数据是否公开并不重要。