9
惡意用戶是否可以將$ _SESSION(in php)變量設置爲他想要的任何值?
A
回答
3
是,通過其他用戶的會話數據,如下所示:http://phpsec.org/projects/guide/4.html
2
如果你爲他提供這樣做的(糟糕/不安全的代碼)的手段,這是可能的。但是,這通常不太可能。
8
在很大程度上取決於你的代碼。非常明顯的東西:$_SESSION['username'] = $_REQUEST['username']。
2
不一般,但他們可以,如果,例如,你必須在你的PHP遠程代碼執行漏洞。
2
除非你做錯事在你的代碼他不能設置您的服務器上,他所能做的就是竊取其他一些用戶的會話cookie,並以這種方式獲得...換句話說,他可以改變自己的會話cookie,你的$ _SESSION使用,以確定他
3
這取決於你如何設置會話變量。用戶可以利用您設置它們的方式。
與會話最常見的攻擊就是會話固定:http://en.wikipedia.org/wiki/Session_fixation
2
不,如果你的代碼是正確的,並且不允許基於未經驗證userinput設定值。
-1
是的,當REGISTER_GLOBALS上。
1
是。如果您使用cookie中的某些內容或其他類似的請求方法(用戶可以編輯該內容以與會話交互),則會發生變化。例如,假設您創建在線商店並將商品標識存儲在Cookie中,並在頁面刷新上將其推送到會話中。在頁面上,用戶可以編輯cookie,因此當它進入會話時,它已被修改。
相關問題
- 1. 是否可以更改$ _SESSION變量客戶端?
- 2. 變量是否可以修飾?
- 3. 是否可以修改PrintDialog?
- 4. 是$ _SESSION []變量可利用
- 5. 是否可以連接到PHP $ _SESSION變量?
- 6. 是否可以在子shell中修改父項的變量?
- 7. JavaScript變量是否可以被惡意修改?
- 8. 是否可以修改let綁定?
- 9. 用戶可以訪問$ _SESSION變量嗎?
- 10. 是否可以直接修改HTML流?
- 11. 是否可以修改HTML圖表?
- 12. 是否可以修改列表元素?
- 13. 是否可以防止DLL被修改?
- 14. 在JavaScript中,是否可以創建一個可修改的靜態類變量?
- 15. Supplant $ _SESSION變量
- 16. 是否可以修改uitabbarcontroller高度?
- 17. 是否可以修改子進程?
- 18. 是否可以修改遷移
- 19. 是否可以修改len()的行爲?
- 20. 是否可以在render()中修改this.state?
- 21. 是否可以使用.autocomplete()的修改?
- 22. 是否有可能從其他會話訪問$ _SESSION變量?
- 23. ob_end_clean修改變量以及
- 24. PHP $ _SESSION變量
- 25. 是否有可能修改Postman中的變量
- 26. 是否有可移植的方式來修改環境變量?
- 27. 是否可以在$ _GET中設置/插入新變量| $ _POST | $ _SESSION | TWIG的$ _COOKIE?
- 28. $ _SESSION變量不是 '解封'
- 29. 是否可以從外部修改類實例的私有變量?
- 30. mutator方法是否可以修改變量/對象並將其返回?