php – 假会话/ Cookies？

我不确定$_SESSION如何在 PHP中工作.我认为它是浏览器上的cookie,与服务器上的唯一键匹配.是否可以伪造,通过登录,只使用会话来标识用户.

如果$_SESSION不这样工作,有人可能会伪造cookies并绕过登录？

识别用户的唯一的事情是与每个请求一起发送的伪随机值.
如果攻击者可以猜到正确的价值观,他可以像其他人一样.

有不同的方式使这更难：

使会话ID更长(更多的熵,更难猜到)检查用户代理(基本上更多的熵)等附加信息显然：使用一个好的随机数发生器>在任何一个时间早点到期提交一组较小的有效会话ID>更新会话ids经常,即使是有效的ids>使用SSL加密所有通信,以避免彻底的cookie劫持

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!