簡體 English 中英

黑客可以設置PHP會話變量嗎？

[英]Can a hacker set a PHP session variable?

原文 2016-03-08 19:32:27 7 1 php/ security/ session

我設置的安全檢查的一部分是隨機生成一個整數，作為安全令牌存儲為$_SESSION變量。 這可以通過特定的腳本進行驗證，並根據是否通過驗證將布爾值設置為true或false（如果通過了其他檢查，則允許輸入該站點）。 黑客有可能以某種方式設置此會話變量嗎？ 如果是這樣，怎么辦？

1 個解決方案

僅在您像Joomla那樣允許它們時才這樣做（另請參見： CVE-2015-8562的文章）。

如果您的應用程序不讓攻擊者控制$_SESSION超全局變量的內容，那么他們就完全無法控制它們。 開箱即用，這不可能發生。

攻擊者可以其他方式控制$_SESSION的內容：

您將會話數據存儲在數據庫驅動程序中，並且無法通過TLS或SSH連接到它。
您將會話數據序列化並將其存儲在cookie中，然后無法正確實現加密安全的消息身份驗證。

但總的來說，沒有。

PHP會話變量未設置

[英]PHP session variable not set

PHP-無法將會話變量設置為類staticdefault值

[英]PHP - Can't set session variable as class staticdefault value

如何從PHP設置ExpressionEngine會話變量？

[英]How can I set an ExpressionEngine session variable from PHP?

PHP集中的SESSION變量，但無法檢索值

[英]SESSION variable in php set but can't retrieve values

如何在 Drupal 8 中設置 session 變量並在 php 腳本中獲取它？

[英]how can I set a session variable in Drupal 8 and get it in a php script?

PHP無法設置會話變量

[英]PHP Unable to set a session variable

PHP 會話變量未設置

[英]PHP Session variable not getting set

PHP會話變量未設置

[英]PHP session variable not being set

PHP - 無法設置會話變量

[英]PHP - session variable cannot be set

如何將JavaScript變量設置為PHP會話變量

[英]How to set javascript variable to php session variable

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 PHP會話變量未設置 PHP-無法將會話變量設置為類staticdefault值如何從PHP設置ExpressionEngine會話變量？ PHP集中的SESSION變量，但無法檢索值如何在 Drupal 8 中設置 session 變量並在 php 腳本中獲取它？ PHP無法設置會話變量 PHP 會話變量未設置 PHP會話變量未設置 PHP - 無法設置會話變量如何將JavaScript變量設置為PHP會話變量

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM