0
我设置的安全检查的一部分是随机生成一个整数作为存储为$_SESSION变量的安全令牌。这通过特定的脚本进行验证,并根据验证是否为布尔值将布尔值设置为true或false(允许在通过其他检查时进入站点)。黑客有可能以某种方式设置此会话变量?如果是这样,怎么样?黑客可以设置PHP会话变量吗?
A
回答
1
只有当你让他们,like Joomla did(另见:the write-up for CVE-2015-8562)。
如果您的应用程序不允许攻击者控制超级全局的内容,那么他们完全无法控制它们。开箱即用,这是不可能发生的。
其他方式攻击者可以控制的$_SESSION内容:
- 您存储会话数据的数据库驱动程序,并且无法通过TLS或SSH连接到它。
- 您将会话数据序列化并存储在cookie中,然后未能正确实施加密安全的消息身份验证。
但是总的来说,没有。
相关问题
- 1. PHP客户端可以设置$ _SESSION变量吗?
- 2. PHP可变黑客
- 3. PHP会话变量设置不正确
- 4. 取消设置php会话变量
- 5. 设置PHP多维会话变量
- 6. PHP会话变量没有被设置
- 7. php - 这可能会从其他会话中取消设置一个变量吗?
- 8. 设置会话变量为paramiko会话
- 9. 会话变量未设置
- 10. 设置会话变量
- 11. 会话变量未设置
- 12. 会话变量已设置
- 13. 设置会话变量
- 14. 可以使用jQuery会话变量吗?调用一个php
- 15. php cron作业可以访问会话变量/ cookies吗?
- 16. 您可以在金字塔的MAKO文件中设置会话变量吗?
- 17. Capistrano:我可以为整个上限会话设置一个环境变量吗?
- 18. 会话变量已设置,但PHP报告它没有设置?
- 19. 是否可以从apache设置会话变量?
- 20. php变量会话变量
- 21. 可以在php中设置会话设置
- 22. PHP会话变量
- 23. Php - 会话变量
- 24. PHP会话变量
- 25. php会话变量
- 26. 我可以从现有变量中设置PHP类属性吗?
- 27. 可以使用内联PHP设置JavaScript变量值吗?
- 28. Facebook连接PHP会话变量不会设置
- 29. PHP会话变量不会取消设置
- 30. PHP可变会话
如果黑客可以设置会话变量,他也可以下载或修改您的所有代码。会议不可能成为目标。 –
一般不会。但是在应用程序中可能存在一个漏洞,允许类似的东西。 – Gumbo