1
我目前使用的会话来处理用户的数据,例如:会话重新生成的好处?
- 用户名
- 密码
- 名称
- 权限
我想知道是一回事,如果数据在发送到会话之前被加密,会重新生成毫无意义?我目前已设置从TMP删除旧会话并创建一个新会话。
是否有人可以解释它是如何使我受益的?我发现他们喜欢使功能看起来非常重要,他们很赞赏文档! :)
A
回答
5
session_regenerate_id()实际上并没有防止会话固定。但是,至少应该在用户登录时调用它,以防止“通用”会话修复攻击(1,2)无法工作。
- 攻击者包括在URL中
PHPSESSID=参数他发送到用户,设置(“行了吧”)浏览器的会话ID到一个已知的值。或者他可以从其他子域中设置会话cookie(例如,通过上传带有嵌入式JavaScript的HTML文件来实现)。 - 他等待用户在该会话下登录。
- 他使用已知的会话ID来劫持用户的帐户。
调用session_regenerate_id()可防止步骤3成功,因为攻击者在该点不再知道会话ID。
此外,由于子域可以为父域(也发送给其他子域)设置cookie,因此建议您将任何不受信任的内容托管在众所周知的TLD(如.com)中完全独立的域名上, .net或.org。浏览器包含防止为这些TLD设置Cookie的黑名单(例如Public Suffix List)。
例如,exampleusercontent.com上的内容无法设置将发送到example.com的Cookie。
相关问题
- 1. nodejs/express。重新生成会话
- 2. 会话数据在会话重新生成后丢失.net
- 3. 连接会话中间件 - 重新生成与重新加载
- 4. 每次请求都会重新生成PHP会话:CodeIgniter
- 5. 会话ID是否会不时自动重新生成?
- 6. laravel 4.2重新生成会话重定向
- 7. 会话每会话有什么好处?
- 8. 的Joomla如何重新生成会话ID,以防止会话固定
- 9. 会话重新生成导致快速AJAX调用过期的会话
- 10. 会不会regenerate_session_id重新生成拦截会话ID的人的ID?
- 11. 生成会话ID
- 12. 如何正确重新生成会话ID?
- 13. 正在自动重新生成PHP会话ID
- 14. 会话重新生成ID超出最长执行时间?
- 15. Kohana 3.2在每个请求上重新生成会话ID
- 16. 使用Nodejs连接重新生成会话ID
- 17. 在codeigniter中的ajax调用后重新生成新的会话ID
- 18. autogen.sh不会(重新)生成po/Makefile.in.in
- 19. CryptGenRandom生成asp.net会话ID
- 20. PHP会话重置刷新
- 21. WebRequest会话中的完成处理
- 22. Internet Explorer中生成新的会话从另一个域
- 23. PHP会话处理程序和PHPSESSID生成/验证
- 24. 是否可以手动重新生成代码点火器会话?
- 25. 在codeigniter中过期之前可以重新生成登录会话吗?
- 26. add_foreign_key不会生成新列
- 27. 资源文件重建时不会重新生成(hello world tutorial)
- 28. 标题重定向和会话开始()生成错误
- 29. 重新生成网址
- 30. 重新使用生成器
为什么要首先更改会话标识符或手动删除会话? PHP自己处理这个就好了... – 2011-02-08 04:24:29