0
在PHP中使用內置會話創建器安全嗎?我的擔心是有人可以在另一臺人機上劫持令牌cookie,並將它們設置爲完全相同,因此欺騙服務器使其認爲它們是同一個人。PHP會話創建者ID
是否有保護(例如IP檢查)來阻止此問題,還是應該使用更安全的方法?
A
回答
1
PHP不執行任何IP檢查,原因很簡單,它不會100%的時間工作。
所以是的,你可以劫持一個會話。如果你想提高安全性,你需要在其上構建機制。有些指針請看http://phpsec.org/projects/guide/4.html。
1
是的,理論上可以劫持另一個人機器上的令牌cookie,但事實上,世界上的每個站點都使用它。包括Stackoverflow。如果您劫持我的cookie,您可以登錄到我的帳戶。所以呢?
+0
我相信你不會希望人們查看你在線的任何敏感信息 – TomC 2010-09-11 18:44:53
+0
@TomC我不問你我想要什麼。我正在用這樣的標誌告訴你。可能這不像你想象的那麼危險? – 2010-09-11 19:04:09
相關問題
- 1. PHP沒有創建會話
- 2. PHP登錄會話創建
- 3. 用會話php創建cookie?
- 4. 創建時獲取會話ID
- 5. 基本:如何創建會話ID?
- 6. 無法創建虛擬機會話ID
- 7. 不要重新創建會話ID .NET Cookie會話
- 8. 如何使用會話ID創建會話對象?
- 9. 使用特定的會話ID創建會話
- 10. httpservletrequest - 創建新會話/更改會話Id
- 11. 如何使用PHP創建不可預測的Cookie會話ID
- 12. 創建會話
- 13. 創建會話
- 14. PHP重命名會話ID
- 15. PHP會話ID問題
- 16. php cURL無效會話ID
- 17. PHP:非法會話ID
- 18. PHP會話ID重定向
- 19. PHP會話ID重複?
- 20. 獲取PHP SSL會話ID
- 21. PHP - 結束會話ID
- 22. Php不在webmatrix中創建會話
- 23. 如何使用PHP創建會話?
- 24. 創建安全的PHP會話cookie
- 25. Php會話不能正確創建
- 26. php session_start()忽略已創建的會話
- 27. PHP會話創建/閱讀問題
- 28. 爲php登錄創建會話
- 29. 使用jQuery創建php會話
- 30. jquery ajax無法創建php會話
感謝您的幫助:) – TomC 2010-09-11 09:12:53