如何安全地創建基於會話編號的文件

Question

這是我的問題： 我想製作一個HTML表單以允許用戶將圖像上傳到我的網絡服務器。當用戶上傳一些文件時，我想爲他上傳文件的目錄創建一個目錄。

這樣用戶可以在以後刪除文件，我想我應該命名目錄作爲用戶會話ID ...

因此，這裏是我的關心：我有鍍鉻插件「EditThisCookie」，我可以更改我的PHPSESSID爲這樣的：

'../test'或任何我想要的字符串。

當然，我可以在創建目錄之前刪除所有不需要的字符，但我對PHP非常陌生，並且想知道是否有正確的做法的最佳做法？

更新：這就是我現在要做的。可以嗎？

if(! preg_match('/^[0-9a-zA-Z]+$/', session_id())){ 
    session_regenerate_id(); 
} 

Answer 1

爲此使用Session Cookie值很好。

但通常人們將會話ID與用戶的遠程地址（IP）一起安全並進行驗證，因此請求需要具有正確的會話Cookie值和遠程地址。

這樣就不會有任何不需要/未驗證的cookie值寫入您的磁盤，並且不會通過cookie操作進行濫用。