那些遇到过的问题

PHP客户端可以设置$ _SESSION变量吗?

Ben*_*Ben 21 php security

是否存在客户端/用户/黑客$_SESSION自己设置变量的情况(不包括在服务器计算机上运行的恶意软件.我主要是通过浏览器来表示)?

我问的原因是因为几天前我问过这个问题.从那以后,我对这个问题变得非常困惑,但我对会话固定和劫持有了更好的了解.

尽可能简单地说,如果我用类似的东西验证每个页面isset($_SESSION['validated']),它是否安全?

Jac*_*kin 20

如果您将$_SESSION变量直接分配给未过滤的用户输入,请单击是.

这让我想到了我的观点:绝不信任用户的输入.EVER

如果您确实要过滤输入,那么我看不出它是如何完成的.

  • 实际上,(假设代表网络程序员有敏感性)它不可能."$ _SESSION"的数据保存在服务器本身上,并通过存储为cookie的密钥进行查找.实际上无法在$ _SESSION本身中置换数据,但是用户可能猜测另一个会话的会话ID并发送相应的会话cookie.但是对于所有意图和目的,对于您(网络程序员)来说,他们与其他用户完全相同,因此无论如何都不负责保护他们.Firesheep(http://codebutler.github.com/firesheep/)就是这么做的. (10认同)

归档时间:

查看次数:

16356 次

最近记录:

10 年,1 月 前
如何在URL中发送PHPSESSID? 7
PHP会话足够用户身份验证吗? 4
更多相关链接
相关归档
创建和更新Laravel Eloquent 142
在Yii Framework中包含CSS,javascript文件 96
如何使用PHP获取特定日期的日期 38
node.js和Apache PHP一起运行? 31
为什么要使用带框架的模板引擎? 28
CodeIgniter是大型应用程序的明智选择吗? 23
如何让@RolesAllowed注释适用于我的Web应用程序? 16
找到黑客留下的代码,但不明白它的作用 9
HTML/CSS/JS:隐形表单是否可以拦截(劫持)用户输入? 3
$ wpdb-> insert(..)和$ wpdb-> update(..)是否自动清除数据? 2
难疑归档
什么是sleep()的JavaScript版本? 2115
如何在jQuery中选择具有多个类的元素? 1985
在Python中获取列表的最后一个元素 1871
如何在Linux中对文件进行符号链接? 1865
什么是智能指针,什么时候应该使用? 1730
如何按字典值对字典列表进行排序? 1722
Make .gitignore会忽略除少数文件之外的所有内容 1531
如何从其他线程更新GUI? 1331
适用于PDF文件的MIME媒体类型 1229
使用node.js作为简单的Web服务器 1068