繁体 English 中英

黑客可以设置PHP会话变量吗？

[英]Can a hacker set a PHP session variable?

原文 2016-03-08 19:32:27 6 1 php/ security/ session

我设置的安全检查的一部分是随机生成一个整数，作为安全令牌存储为$_SESSION变量。 这可以通过特定的脚本进行验证，并根据是否通过验证将布尔值设置为true或false（如果通过了其他检查，则允许输入该站点）。 黑客有可能以某种方式设置此会话变量吗？ 如果是这样，怎么办？

1 个解决方案

仅在您像Joomla那样允许它们时才这样做（另请参见： CVE-2015-8562的文章）。

如果您的应用程序不让攻击者控制$_SESSION超全局变量的内容，那么他们就完全无法控制它们。 开箱即用，这不可能发生。

攻击者可以其他方式控制$_SESSION的内容：

您将会话数据存储在数据库驱动程序中，并且无法通过TLS或SSH连接到它。
您将会话数据序列化并将其存储在cookie中，然后无法正确实现加密安全的消息身份验证。

但总的来说，没有。

PHP会话变量未设置

[英]PHP session variable not set

PHP-无法将会话变量设置为类staticdefault值

[英]PHP - Can't set session variable as class staticdefault value

如何从PHP设置ExpressionEngine会话变量？

[英]How can I set an ExpressionEngine session variable from PHP?

PHP集中的SESSION变量，但无法检索值

[英]SESSION variable in php set but can't retrieve values

如何在 Drupal 8 中设置 session 变量并在 php 脚本中获取它？

[英]how can I set a session variable in Drupal 8 and get it in a php script?

PHP无法设置会话变量

[英]PHP Unable to set a session variable

PHP 会话变量未设置

[英]PHP Session variable not getting set

PHP会话变量未设置

[英]PHP session variable not being set

PHP - 无法设置会话变量

[英]PHP - session variable cannot be set

如何将JavaScript变量设置为PHP会话变量

[英]How to set javascript variable to php session variable

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 PHP会话变量未设置 PHP-无法将会话变量设置为类staticdefault值如何从PHP设置ExpressionEngine会话变量？ PHP集中的SESSION变量，但无法检索值如何在 Drupal 8 中设置 session 变量并在 php 脚本中获取它？ PHP无法设置会话变量 PHP 会话变量未设置 PHP会话变量未设置 PHP - 无法设置会话变量如何将JavaScript变量设置为PHP会话变量

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM