會話數(shù)據(jù)常會包含一些個(gè)人信息和其它敏感數(shù)據(jù)?；谶@個(gè)原因，會話數(shù)據(jù)的暴露是被普遍關(guān)心的問題。一般來說，暴露的范圍不會很大，因?yàn)闀挃?shù)據(jù)是保存在服務(wù)器環(huán)境中的，而不是在數(shù)據(jù)庫或文件系統(tǒng)中。因此，會話數(shù)據(jù)自然不會公開暴露。

使用SSL是一種特別有效的手段，它可以使數(shù)據(jù)在服務(wù)器和客戶端之間傳送時(shí)暴露的可能性降到最低。這對于傳送敏感數(shù)據(jù)的應(yīng)用來說非常重要。SSL在HTTP之上提供了一個(gè)保護(hù)層，以使所有在HTTP請求和應(yīng)答中的數(shù)據(jù)都得到了保護(hù)。

如果你關(guān)心的是會話數(shù)據(jù)保存區(qū)本身的安全，你可以對會話數(shù)據(jù)進(jìn)行加密，這樣沒有正確的密鑰就無法讀取它的內(nèi)容。這在PHP中非常容易做到，你只要使用session_set_save_handler( )并寫上你自己的session加密存儲和解密讀取的處理函數(shù)即可。關(guān)于加密會話數(shù)據(jù)保存區(qū)的問題，參見附錄C。