0
在PHP中使用内置会话创建器安全吗?我的担心是有人可以在另一台人机上劫持令牌cookie,并将它们设置为完全相同,因此欺骗服务器使其认为它们是同一个人。PHP会话创建者ID
是否有保护(例如IP检查)来阻止此问题,还是应该使用更安全的方法?
A
回答
1
PHP不执行任何IP检查,原因很简单,它不会100%的时间工作。
所以是的,你可以劫持一个会话。如果你想提高安全性,你需要在其上构建机制。有些指针请看http://phpsec.org/projects/guide/4.html。
1
是的,理论上可以劫持另一个人机器上的令牌cookie,但事实上,世界上的每个站点都使用它。包括Stackoverflow。如果您劫持我的cookie,您可以登录到我的帐户。所以呢?
+0
我相信你不会希望人们查看你在线的任何敏感信息 – TomC 2010-09-11 18:44:53
+0
@TomC我不问你我想要什么。我正在用这样的标志告诉你。可能这不像你想象的那么危险? – 2010-09-11 19:04:09
相关问题
- 1. PHP登录会话创建
- 2. PHP没有创建会话
- 3. 用会话php创建cookie?
- 4. 基本:如何创建会话ID?
- 5. 创建时获取会话ID
- 6. 如何使用PHP创建不可预测的Cookie会话ID
- 7. 如何使用会话ID创建会话对象?
- 8. httpservletrequest - 创建新会话/更改会话Id
- 9. 使用特定的会话ID创建会话
- 10. 不要重新创建会话ID .NET Cookie会话
- 11. 创建会话
- 12. PHP - 结束会话ID
- 13. PHP:非法会话ID
- 14. PHP重命名会话ID
- 15. PHP会话ID重定向
- 16. PHP会话ID重复?
- 17. php cURL无效会话ID
- 18. Php会话不能正确创建
- 19. Php不在webmatrix中创建会话
- 20. jquery ajax无法创建php会话
- 21. PHP会话创建并销毁提交?
- 22. PHP会话创建/阅读问题
- 23. 如何使用PHP创建会话?
- 24. 创建安全的PHP会话cookie
- 25. Django创建会话
- 26. 创建Web会话
- 27. REST - 创建会话
- 28. PHP session_start cookie不会保存会话ID
- 29. “审计按会话创建会话”与“按访问审计创建会话”?
- 30. ASP.NET会话状态已创建一个会话ID,但无法保存
感谢您的帮助:) – TomC 2010-09-11 09:12:53