[英]Can a hacker set a PHP session variable?
我設置的安全檢查的一部分是隨機生成一個整數,作為安全令牌存儲為$_SESSION
變量。 這可以通過特定的腳本進行驗證,並根據是否通過驗證將布爾值設置為true或false(如果通過了其他檢查,則允許輸入該站點)。 黑客有可能以某種方式設置此會話變量嗎? 如果是這樣,怎么辦?
僅在您像Joomla那樣允許它們時才這樣做 (另請參見: CVE-2015-8562的文章 )。
如果您的應用程序不讓攻擊者控制$_SESSION
超全局變量的內容,那么他們就完全無法控制它們。 開箱即用,這不可能發生。
攻擊者可以其他方式控制$_SESSION
的內容:
但總的來說,沒有。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.