我在php手册中读到了关于会话漏洞的问题,并且遇到了这个问题:我需要我的服务器/代码在成功验证用户之后生成会话ID。是我登录前生成的会话ID吗?
现在,我不知道什么时候php设置会话Id。我的PHP应用程序是类似MVC的,一切都通过index.php,并在index.php的顶部我有session.start(),因为每一个页面(登录后)使用会话。
这是一个漏洞风险吗?或者,我应该这样说:这是否意味着在我第一次到达我的网站时,即使在登录之前,服务器是否为该用户设置了会话ID? session.start()是否设置了一个用户ID,或者是一个session-id,直到我设置了我的第一个会话变量,即。直到我做$ _SESSION ['foo'] ='酒吧'?
如果一个会话实际上是在session.start()上产生的,我想一个好主意是在认证后重新生成session-id,这样做是否能解决问题?