问题标签 [sessionid]

我正在开发一个在其主页上使用 wp-cumulus 的网站

http://www.roytanck.com/2008/03/06/wordpress-plugin-wp-cumulus-flash-based-tag-cloud/

它是一个显示漂亮云标签的 Flash 组件。

为了使用它，我发出：

并在主页（index.php）我发出重定向，如

问题是，当重定向 php 自动添加一个 &PHPSESSIONID=xxxx 到每个链接，是的，包括 javascript 的东西！

结果：

并且组件似乎不喜欢＆符号，所以它不起作用......

如何防止 php 添加这些东西？

我已经尝试过：

在 index.php 中，但它没有用

我还尝试在根目录创建和 .htaccess 文件，内容如下：

php_value session.use_only_cookies 1 php_value session.use_trans_sid 0

与

php_flag session.use_only_cookies 1 php_flag session.use_trans_sid 0

但是这些站点只是挂断了，日志中出现以下错误

[2010 年 1 月 11 日星期一 12:01:13] [警报] [客户端 201.250.119.217] /www/docs/ludion.com.ar/public_html/.htaccess：无效命令“php_value”，可能拼写错误或由模块定义包含在服务器配置中...

[2010 年 1 月 11 日星期一 12:11:27] [警报] [客户端 201.250.119.217] /www/docs/ludion.com.ar/public_html/.htaccess：无效的命令 'php_flag'，可能拼写错误或由未定义的模块包含在服务器配置中

任何的想法？？？

我试图将 ASP 会话 ID cookie 标记为 HttpOnly，但似乎无法找到判断它是否正常工作的方法。我正在尝试的环境如下：操作系统：Windows Server 2003 IIS：6 ASP 版本：ASP 3（经典 ASP）

为了将 cookie 标记为仅 http，我遵循了MS KB

根据我们架构师的建议，为了测试这是否有效，javascript document.cookie 应该无法读取 ASPSESSIONID* cookie。我的问题是 javascript:alert(document.cookie) 仍然与 ASPSESSIONID* cookie 相呼应，尽管它似乎已加密（？）

我还尝试通过 Response.AddHeader "Set-Cookie" 执行此操作，但无法确定为该标头提供什么值以标记所有 cookie 或至少将 ASP 会话 ID cookie 标记为 HttpOnly。帮助！！！

我正在记录从人们登录到我的 .NET 2.0 Web 应用程序开始的会话开始时间，但我还想记录会话 ID。有人可以给我一些关于如何完成此操作的示例代码（如何从 Global.ASAX 中访问会话 ID）。

如果您需要任何其他信息，请告诉我。

我希望那里有人能更新有关会话及其 ID 的最新信息。

我在 IIS 7 上运行，我们看到分配给超过 1 个 IP 地址的会话。

我排除了它是由用户重置他们的 IP 地址引起的，例如通过拔下他们的调制解调器。

在至少一个实例中，用户登录并发现来自不同用户的数据已保存到他的帐户中（确定数据存储在哪个帐户中的用户 ID 保存在会话变量中）。在另一种情况下，一名员工登录以检查问题，因为给了不同用户的会话。

不仅仅是会话变量，我在日志中看到会话 ID 本身与两个不同的 IP 地址相关联。在某一时刻，超过 10% 的用户都在发生这种情况。

我想知道问题是否不在我们的系统中，因为我看到在每种情况下，共享会话 ID 的 IP 都在同一个 ISP 上或共享至少一个 NameServer。

我非常欢迎任何想法，我们越来越绝望了！

我有多个 Web 应用程序 (PHP)，它们从他们自己的域提供给不同的客户。每个域显然都有单独的 cookie 和会话（域和路径都设置正确）。

我是否需要在数据库中为每个网站设置一个完全独立的会话表以尝试确保唯一的会话？我猜我不需要，因为如果我们使用文件支持的会话，那么每个服务器都使用相同的会话存储。所以我猜想使用数据库存储我也可以重复使用该表。

只是使用会话代码（我正在使用 ADODB），我看不到任何代码来处理会话创建期间的会话 ID 冲突。

I'm trying to get php to automatically pass the session ID via url, even if the browser accepts cookies.

I know url session id are normally considered a security risk, but I have a very specific application in mind which requires several separate users to be able to log in to the same php session, despite what cookie settings their browsers have. Sharing the url is my aim here, rather than a threat.

There will be several "groups" of users, each group should have a unique shared session, so simply applying a fixed session id in the code won't work. I want the "owner" of the group to be able to initiate the session, get a unique id, then pass this on to all the other users, via a url.

As it's an existing application, I can't make modifications that will affect the normal session behaviour for other users - this is for users in a specific group of IPs - which is why i'm trying to modify the standard session handling.

I've tried using ini_set() to disable session.use_cookie, but that simply prevents the session from being remembered at all.

Any suggestions gratefully received.

大多数 Web 应用程序依赖于与用户的某种会话（例如，保留登录状态）。会话 ID 作为 cookie 保存在用户的浏览器中，并随每个请求一起发送。

为了让猜测下一个用户的会话变得困难，这些会话 ID 需要稀疏且有些随机。也必须是独一无二的。

问题是 -如何有效地生成稀疏且唯一的会话 ID？

这个问题对唯一随机数有一个很好的答案，但对于大范围的数字似乎不可扩展，仅仅是因为数组最终会占用大量内存。

编辑：

• 就安全性（和随机性）而言，GUID 被认为是不安全的。
• 核心问题是确保数字是唯一的，即它们不会重复并使其有效。

我最近构建了一个部署在 Tomcat 上的简单 Web 应用程序。该应用程序使用非常标准的基于会话的安全性，其中为已登录的用户提供了一个会话。

会话在 Firefox 和 Chrome 中运行良好，但需要在 IE（测试 7 和 8）的 URL 中使用 jsessionid，设置为中等隐私。在 IE 8 中，我尝试覆盖 cookie 处理，设置“允许所有 3rd 方 cookie”和“允许所有会话 cookie” - 没有骰子。但是，当我在本地机器上运行 Tomcat 时，IE 接受 cookie，并且会话工作正常。

现在，对于 HTTP 标头。

在 Chrome 中，登录的用户会获得一个会话

从 IE 8 开始，具有标准的中级安全性和隐私性——

我认为这可能是 P3P，但在添加紧凑策略时，没有任何变化。这是标准的 Tomcat 会话，所以我很惊讶到目前为止我还没有找到其他有同样问题的人。有人有想法么？

编辑 2010 年 4 月 3 日-

抱歉，如果我没有说清楚 - 我已经尝试过其他多个 IE 实例 - 大厅里的同事等等。

编辑 2010 年 4 月 3 日-

我也尝试过打开所有 cookie 的提示，但我没有收到提示。使用 Fiddler 在“Set-Cookie”标头中设置域也没有什么不同。

好的，我正在存储一个这样的会话变量，以便在设置而不是调用数据库时更快地加载用户布局。但是由于可以通过管理员更改布局，我希望能够全局删除为所有用户设置了 $_SESSION['layout']['action'] 的所有会话。

现在，我知道它已存储到我的数据库会话表中，其中有一列用于 session_id、last_update 和 data。所以，我的问题是如何从所有用户中删除该会话数组键 ['action']。

使用

不工作。基本上，每次页面加载都会加载 session_start()，所以我只想从 ['layout'] 中删除所有 ['action'] 键。

这可能吗？谢谢

我目前需要获取会话 ID，因此我需要获取 HttpSession，但我的 EJB 模块中没有任何 servlet。那么也许像webservices api中的一些DI注释？