php – 假会话/ Cookies?
发布时间:2020-05-22 11:40:17 所属栏目:PHP 来源:互联网
导读:我不确定$_SESSION如何在 PHP中工作.我认为它是浏览器上的cookie,与服务器上的唯一键匹配.是否可以伪造,通过登录,只使用会话来标识用户. 如果$_SESSION不这样工作,有人可能会伪造cookies并绕过登录? 是. 识别用户的唯一的事情是与每个请求一起发送的伪随机值
我不确定$_SESSION如何在 PHP中工作.我认为它是浏览器上的cookie,与服务器上的唯一键匹配.是否可以伪造,通过登录,只使用会话来标识用户. 如果$_SESSION不这样工作,有人可能会伪造cookies并绕过登录? 是.识别用户的唯一的事情是与每个请求一起发送的伪随机值. 有不同的方式使这更难: 使会话ID更长(更多的熵,更难猜到)检查用户代理(基本上更多的熵)等附加信息显然:使用一个好的随机数发生器>在任何一个时间早点到期提交一组较小的有效会话ID>更新会话ids经常,即使是有效的ids>使用SSL加密所有通信,以避免彻底的cookie劫持 (编辑:安卓应用网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |