我在 php 手册中阅读了会话漏洞并遇到了这个问题:我需要我的服务器/代码在成功验证用户身份后生成会话 ID。
现在,我不确定 php 何时设置会话 ID。我的 php 应用程序类似于 MVC,一切都通过 index.php,在 index.php 的顶部我有 session.start(),因为每个页面(登录后)都使用会话。
这是漏洞风险吗?或者,我应该这样说:这是否意味着在第一次到达我的站点时,甚至在登录之前,服务器是否为该用户设置了会话 ID?session.start() 是否设置了用户 ID,或者在我设置我的第一个会话变量之前没有生成会话 ID,即。直到我做 $_SESSION['foo']='bar'?
如果实际上已经在 session.start() 上生成了会话,我想一个好主意是在身份验证后重新生成会话 ID,在这种情况下是否可以解决问题?