如何防止会话ID在调试器中看到?
[英]how to prevent sessions id from being seen in debuggers?
问题描述
因此,似乎Opera Dragonfly可以缓存cookie以及会话信息。 特别是我的问题是PHPSSID。 是否有一种方法可以使调试器/开发人员工具随时都不会显示PHPSSID?
我不介意Cookie,因为它们是安全的。 由于它们中的数据是用双盐以及其他一些东西进行哈希处理的,所以伪造它们对我来说不是问题。
但是我想确保不会看到PHP会话。 我将如何实现这一目标?
1 个解决方案
解决方案1
0 2011-05-13 23:09:57
简而言之,答案是: 您不能,那不是会话ID的工作。
会话ID的重点是一个非常随机的数字,通常称为加密随机数 。 该值很难被猜到,然后用于在服务器端引用有关该会话的状态。 这可能在数据库中,或者默认情况下,PHP使用文件/tmp/THE_SESSION_ID 。 $_SESSION中存储的数据存储在此文件中,用户无法获取此数据。
在PHP中,为了防止攻击者窃取用户的会话ID,应在php.ini中将session.cookie_secure=On设置session.cookie_secure=On 。 这将强制会话通过HTTPS。
如果您使用的是HTTPS,则该会话ID将被该网络上的攻击者所掩盖。 通过使用HTTPS会话ID不能被Wireshark或Firesheep之类的工具劫持。 不使用HTTPS违反了OWASP A9:传输层保护不足 。 但是,用户仍然可以通过查看其cookie javascript:document.cookie或使用TamperData来查看自己的会话ID。
如何处理文本字符串中的PHP代码,以防止将其视为文本?
[英]How to process PHP code in a text string, to prevent it from being seen as text?
如何防止在不同的apache vhost之间共享PHP会话?
[英]How to prevent PHP sessions being shared between different apache vhosts?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.