我正在创建一个社交/博客平台,并将他们的用户 ID 存储在会话中,因此我会将会话中的 ID 回显到页面上。
一个人可以编辑会话以获取另一个用户的身份吗?
谢谢
问问题
87 次
4 回答
2
这取决于设置$_SESSION您使用的变量的方法 -检查这个相关问题以获得更多说明。
于 2011-07-26T22:15:07.660 回答
1
会话只是一个带有标识符的 cookie。
当我访问您的网站时,您的网络服务器将为我创建一个标识符为 XA7i9 的会话(只是一个示例),我的浏览器会将其存储为会话 cookie。现在,我的浏览器将随每个请求发送 XA7i9。当你在里面存储东西时$_SESSION,它永远不会离开你的服务器。
但是,如果我篡改了会话 cookie 并且可以猜出您的会话标识符,例如 b8a76,您的网络服务器可能会认为我是您。这取决于您的实施。
Stackoverflow 上的这个问题可能会让您感兴趣。
于 2011-07-26T22:18:21.560 回答
0
如果您不允许他这样做,用户将无法编辑您的会话变量。
他可以窃取另一个用户的 SESSID
注意 PHP.ini 的 register_globals 指令
于 2011-07-26T22:16:42.887 回答
0
用户可以拦截另一个用户的会话 cookie 值,将他们自己的 cookie 更改为该用户的,并接管他们的会话。防止这种情况的唯一方法是在您的页面上使用 SSL。这与去年 Facebook 允许用户选择“始终使用 HTTPS”选项的原因相同。
于 2011-07-26T22:18:31.630 回答