问题标签 [sessionid]

如果 php 脚本获得两个带有 PHPSESSIDs 的 cookie，它如何处理会话变量？它是用第一个 PHPSESSID 还是最后一个 PHPSESSID 的变量填充 $_SESSION ？或者只是合并它们？

我有一个可以安装插件的 Web 应用程序。为了创建这些插件，我创建了一个具有相同结构的新 Web 应用程序，并从主应用程序中引用程序集。

在此之后，我只将 aspx（标记）文件复制到主应用程序，所以我有标记页面和对程序集的引用，以便我可以调试。

到目前为止，这一切都运行良好，直到我进行修改时，自上次工作以来唯一改变的是安装 VS2010 SP1。

现在代码中有一点 - 我无法确切地看到它在外部代码中发生的位置，但是会话 ID 正在更改并且我在会话中丢失了所有内容。

我有一段代码可以打开一个带有报告的新窗口：

在此之后，在基本页面中遇到断点：

再次命中相同的断点，但这次 SessionID 已更改！

此时我可以读取调用堆栈，但我的代码中没有任何内容可以更改会话。

堆栈跟踪如下所示：

什么是【应用领域过渡】？

你能看到任何会导致会话 ID 改变的东西吗！？

编辑：

好的，这可能与 VS SP1 无关，而是与 IE10 预览有关。

现在当我做一个window.ShowModalDialog 时，然后从那个对话框中打开一个window.open。Internet Explorer 创建一个新会话

我有以下源代码

session1.php

session2.php

当我访问 session1.php 然后访问 session2.php 时，我得到不同的输出。

为什么这样做？

我有一个登录页面，可以在成功登录时设置会话变量。然后登录页面重定向到管理页面。管理页面能够很好地读取会话变量。但是当我在内容 div 中执行加载 viewUsers.php 的 jQuery load() 函数时，会话变量就消失了。奇怪的部分是会话 ID 是相同的。

我在管理页面和 viewUsers 页面上都使用了 var_dump()。管理页面显示来自登录页面的所有正确变量，但使用 $_SESSION 的 jQuery load() 函数 var_dump 调用的 viewUsers 页面是空白的。$_COOKIE['PHPSESSID'] 的 var_dump 有正确的 ID，但对我来说没有任何意义。

这就是我设置会话变量的方式。

这是 jQuery

所有页面的最顶部都有 session_start()。当我尝试使用 window.open 和 window.location 而不是 jQuery load() 函数时，会话变量也不起作用。

即使我有正确的会话 ID，会话变量如何丢失。如果有人能对此有所了解，我将不胜感激！

截至目前，我正在填充隐藏字段并使用 post 函数而不是 load 来绕过它。我知道这不是最好的方法，但这是我能弄清楚如何做到这一点的唯一方法。

编辑： 这是读取会话变量的索引的顶部。

这是整个viewusers

另一个编辑： 这是加载viewusers的javascript代码我使用post的唯一原因是因为我将会话变量设置为隐藏字段以传递会话变量。在 viewuser 上，我使用 foreach 循环来设置会话变量。我知道这不安全。函数维护用户（）{

对于我的项目（奇怪）要求之一，我想使用无 cookie 会话。同时，“session.use_trans_sid”无法开启:(

有人请让我知道是否有其他出路？

谢谢马尼什

我在 php 手册中阅读了会话漏洞并遇到了这个问题：我需要我的服务器/代码在成功验证用户身份后生成会话 ID。

现在，我不确定 php 何时设置会话 ID。我的 php 应用程序类似于 MVC，一切都通过 index.php，在 index.php 的顶部我有 session.start()，因为每个页面（登录后）都使用会话。

这是漏洞风险吗？或者，我应该这样说：这是否意味着在第一次到达我的站点时，甚至在登录之前，服务器是否为该用户设置了会话 ID？session.start() 是否设置了用户 ID，或者在我设置我的第一个会话变量之前没有生成会话 ID，即。直到我做 $_SESSION['foo']='bar'?

如果实际上已经在 session.start() 上生成了会话，我想一个好主意是在身份验证后重新生成会话 ID，在这种情况下是否可以解决问题？

session_id无法在 PHP SESSIONS中获取所有列表？

注意：我需要在服务器中维护一些文件。一个文件等于一个会话。如果 SESSION 过期，我需要确定旧文件的行为。

谢谢大家的任何建议。

我已经在我的系统中配置了 wamp，并且正在这个本地环境中进行开发和测试。我正在研究注销功能，并且碰巧注意到正在生成的会话 ID 在浏览器中是相同的。

例如 - chrome 始终为所有用户生成会话 id = abc，即使在注销和登录后也是如此；IE 总是为所有用户生成会话 id = xyz。

这是 wamp/我的测试环境的问题吗？

请在我的注销 php 脚本下方找到 -

我想知道在成功登录后重新生成会话 ID 是否真的是一种好习惯，而不仅仅是一种货物崇拜行为。

如果我正确理解该理论，它应该可以防止会话劫持（或至少使其更难），但我真的看不出如果有人可以窃取登录前会话，什么会阻止网络钓鱼者再次使用重新生成的会话进行攻击。

我不专注于 Spring（我目前什至不使用 Java），我对优缺点感兴趣。

我有一些关于 servlet 会话的问题。我有关于使用 jsf 创建 Web 应用程序的问题，并在 web.xml 中进行配置：

这意味着会话永远不会超时

我还保存了每个人都已登录到数据库的创建的会话 ID。

我的问题是如何使用我保存在数据库中的会话 ID 强制销毁所有活动会话。

我想要一个管理页面的情况，我可以列出所有活动的会话 ID，我可以销毁它。

谢谢你的帮助。