我只使用会话来存储变量,并希望确保会话保存路径不会被任何用户篡改。于是我去查看我的phpinfo,发现会话保存路径设置为无值。这对于只使用会话作为变量的用户来说是否正常?如果会话保存路径设置为无值,我有什么需要担心的吗?
问问题
13583 次
2 回答
12
该设置的默认值为session.save_path(""空字符串),默认为/tmp.
从“工作”的角度来看,无需担心它被设置为无值(因为这是默认值);但是,从安全的角度来看,确实存在。
手册中的警告:
如果您将此设置保留为世界可读的目录,例如 /tmp(默认),服务器上的其他用户可能能够通过获取该目录中的文件列表来劫持会话。
于 2012-10-04T01:18:37.550 回答
1
您可以通过以下代码创建/编辑 .htaccess 来设置 save_path:
php_value session.save_path /mnt/stor1-wc1-dfw1/123456/www.domain.com/web/sessions
php_value session.save_handler files
有关更多详细信息,请访问此站点:云站点上的 PHP 会话状态服务器以及如何修复不工作的 PHP 会话
于 2016-06-23T21:20:42.650 回答