0
A
回答
2
這取決於你的設置使用$_SESSION變量的方法 - check this related question了一點澄清。
0
如果您不允許他這樣做,用戶將無法編輯您的會話變量。
他可以偷其他用戶
注意register_globals指令爲php.ini中
1
的會議僅僅是一個標識符的cookie SESSID。
當我訪問您的網站,你的Web服務器將創建爲我標識符XA7i9(只是一個例子),該瀏覽器將存儲作爲會話Cookie的會話。現在,我的瀏覽器將發送每個請求XA7i9。當你在$_SESSION裏儲存東西時,它永遠不會離開你的服務器。
但是,如果我篡改會話cookie,並能猜到你的會話標識符,說b8a76,你的網絡服務器可能會認爲我就是你。這取決於你的實現。
這question on Stackoverflow可能是你的興趣。
0
用戶可以攔截其他用戶的會話cookie值,改變自己的cookie到該用戶的,並接管他們的會話。防止這種情況的唯一方法是在您的頁面上使用SSL。這與Facebook使用戶去年選擇「始終使用HTTPS」選項的原因相同。
相關問題
- 1. 我應該依賴注入嗎?我該怎麼做?
- 2. 我應該使用會話嗎?
- 3. isset檢查應該在依賴會話有效的服務中完成嗎?
- 4. 你應該遮蔽你的依賴嗎?
- 5. 我應該向我的客戶注入「孩子」依賴嗎?
- 6. 依賴於會話變量
- 7. 我應該依賴數據庫進行Hibernate屬性驗證嗎?
- 8. 單元測試時,我應該嘲笑所有的依賴嗎?
- 9. 我應該在依賴項中添加recyclerView和CardView嗎?
- 10. 我應該在這些域類上使用依賴注入嗎?
- 11. UML依賴關係 - 我應該在這裏使用它嗎?
- 12. 如何爲依賴於另一個會話的會話創建依賴關係?
- 13. 會話cookie應該始終爲HttpOnly嗎?
- 14. 遠程PowerShell會話應該關閉嗎?
- 15. 會話和工廠應該關閉嗎?
- 16. 我應該依靠髒檢查嗎?
- 17. Cookie和會話是相互依賴的嗎?
- 18. 我應該在我的php項目中使用依賴注入嗎?
- 19. 依賴注入IAuthSession解決空會話
- 20. 休眠沒有會話(不依賴)
- 21. 會話ID應該
- 22. 我應該使用非靜態會話的靜態嗎?
- 23. 我應該從cookie填充會話變量嗎?
- 24. 我應該在NHibernate中處理子會話嗎?
- 25. 我的表示層應該在NHibernate中創建會話嗎?
- 26. 已過期會話:我應該隨機刪除它們嗎?
- 27. 我應該在會話cookie名稱中包含下劃線嗎?
- 28. 我應該爲mgo中的每個操作複製會話嗎?
- 29. 我的會話類應該是靜態的嗎?
- 30. 我應該在Google App Engine中使用會話嗎?