0
可能重複:
Is it possible to edit $_SESSION by hacker?有沒有辦法在網站上查看/編輯我的會話?
我的問題,主要是出於安全考慮,因爲我建立一個使用會話和處理ID和用戶角色的網站表現出一些特定的內容。
此會話是在成功登錄時創建的。
是否有編輯會話的方法,例如將他的ID或ROLE更改爲其他內容,以便他可以訪問其他位置?
A
回答
-2
會話變量只是正常變量。
$_SESSION['id']=1;
進行編輯時,只要將它的另一個號碼
$_SESSION['id']=2;
,如果你想看到一個會話的內容:
var_dump($_SESSION);
1
號會話數據寫入一個文件在任何Web用戶都無法訪問的Web服務器上,除非通過在代碼中設置$_SESSION變量。
所以只要你不用eval()用戶輸入,你的會話安全。將用戶鏈接到其特定會話數據的唯一方法是具有會話ID的cookie,該ID可以手動更改。如果您有很多活動會話,他們可能會猜到一個有效的會話ID並劫持其他人的會話。
0
爲了更好的信息:
轉寄此exisiting網址:Is it possible for a malicious user to edit $_SESSION?
相關問題
- 1. 有沒有辦法讓我可視化地看到ASP.NET網站?
- 2. 有沒有辦法在XCode的調試會話期間查看UIView的實例?
- 3. 有沒有辦法測量用戶在他的網站上看到的高度?
- 4. 有沒有辦法用C#編輯pdf?
- 5. 有沒有辦法在iPad上查看localStorage的內容?
- 6. 有沒有辦法防止未經授權查看網站中的文檔?
- 7. 有沒有辦法在Ace代碼編輯器中查詢HTML?
- 8. R:有沒有辦法查看列表
- 9. 有沒有辦法查看HttpRuntime.Cache?
- 10. 有沒有辦法在Form Control按鈕上編輯標題?
- 11. 有沒有辦法在Jekyll網站上爲Collections設置分頁?
- 12. 有沒有辦法查看網頁上所有div標籤周圍的邊框?
- 13. 有沒有辦法查看LinqPad中擴展的網格結果?
- 14. Instagram:有沒有辦法在我的網站上顯示朋友的帖子?
- 15. 有沒有辦法找到網站上是否有文字?
- 16. Qt - 有沒有辦法在用戶界面上查看QImage「live」?
- 17. 有沒有辦法解決iPad在我的網站上做什麼?
- 18. 有沒有辦法在我的asp網站上創建打印功能?
- 19. 有沒有辦法在我的網站上顯示Google + Zagat分數?
- 20. 有沒有辦法讓這個字體在我的網站上工作?
- 21. 有沒有辦法阻止CURL在我的網站上獲取數據?
- 22. 有沒有辦法在Windows上測試網站,就像我使用的是MacOS
- 23. 有沒有辦法使用免費的網站建設者來編輯自己的網站模板?
- 24. 有沒有辦法直接編輯服務器上的文件?
- 25. 有沒有辦法阻止按國家訪問我的網站?
- 26. 整個網站沒有保存會話
- 27. 有沒有辦法從網站上保存CSS樣式信息?
- 28. 網站離線查看/編輯
- 29. 編輯網站和查看訂單
- 30. 有沒有辦法將視頻從我們的網站上傳到YouTube?
如果你關心'eval',你應該關心'include'爲好。除此之外,攻擊者如何編輯服務器上的文件或者在使用數據庫存儲的情況下使用sql注入來更改會話數據? – hakre