Tot*_*oto 8 php cookies session session-hijacking
我最近在错误日志中看到了这个(每天1个,我每天有4万个访问者):
[22-Sep-2009 21:13:52] PHP Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/my_files/class.session.php on line 67
[22-Sep-2009 21:13:52] PHP Warning: Unknown: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in Unknown on line 0
[22-Sep-2009 21:13:52] PHP Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct () in Unknown on line 0
这不是配置问题,因为它适用于所有人.
我已经修改了php.ini来实现这个目的:
session.use_only_cookies = 1
session.use_trans_sid = 0
我怀疑会话劫持或一种我不知道的攻击(我是parano;)).
你知道它可能是什么吗?我该怎么做才能提高安全性并避免这种情况?
mau*_*ris 18
这里可能做的是这个客户端已经改变了PHPSESSID cookie的内容.通常,SessionID类似于"62bf75fb02922cf9c83fb3521255b4ab"(十六进制)
但是,用户可能已使用某些工具修改了cookie.这对您的网站和服务器没有任何损害,因为这种修改是在客户端完成的,这样做不会影响服务器(除了生成这些错误).您可以做的是,当您收到此类错误时,您更改会话ID并替换客户端上的会话ID.
见解决方案:
$ok = @session_start();
if(!$ok){
session_regenerate_id(true); // replace the Session ID
session_start(); // restart the session (since previous start failed)
}
请记住,您无法通过PHP会话cookie将文件替换或写入服务器.只有在成功启动会话时,PHP才会写入有关当前会话的会话文件并将其存储到tmp文件夹中.文件变旧后,文件将被删除.