目前我正在使用CI。我正在使用CI会话库,它将所有会话值保存在cookie中。有没有什么可能通过在Mozilla中使用类似web开发者的插件来破解这个(会话变量)。有没有机会破解codeigniter会话?
1
A
回答
5
默认情况下,会议是由4点的相关信息制作:
- 用户的唯一的会话ID(这是一个统计学的随机字符串 具有非常强的熵,使用MD5加密的便携性,和 再生(默认)每五分钟)
- 用户的IP地址
- 用户的用户代理数据(浏览器 数据串的前120个字符)
- 的“上次活动”的时间STA熔点。
加上你自己的会话数据,当然。这四个数据中的三个不需要安全,而第一个应该是相当可靠的,即使使用MD5,我也没有深入代码实际看到它是否如此(并且我不是安全专家) 。 后者的安全级别取决于你在那里存储什么样的信息,以及你在存储之前对待它们的能力。
你也可以决定使用数据库存储会话,这将是一个更安全的选择(假设你不允许sql注入!)。
还要注意的是:
如果启用加密选项,序列化的阵列将 被存储在cookie之前进行加密,使数据高度 安全和不受被读取或改变有人。有关加密的更多信息 可以找到here,虽然会话 类将负责自动初始化和加密数据 。
那么,他们应该是相当安全的;如果你不够信任它们,你可以自由地散列或加密你的数据,或者仍然可以毫无问题地使用PHP本地会话。
3
这一切都取决于你实际上最终存储在cookie中的什么样的信息。如果有一个$_COOKIE['is_admin']
的值为"false"
..好吧..
基本上,您必须检查您实际存储在用户计算机上的信息。通常对于会话,它只存储PHPSESSID
,其中包含一个散列值,其余值保留在服务器上。
相关问题
- 1. CodeIgniter IE没有正确存储会话
- 2. 会议在codeigniter中破解
- 3. Codeigniter追加现有会话
- 4. cakePHP“会话”没有返回会话ID
- 5. 无法破坏codeigniter中的会话
- 6. CodeIgniter会话vs PHP会话
- 7. 有没有人提供codeigniter的新解决方案和uploadify会话问题
- 8. 会话(CodeIgniter)
- 9. CodeIgniter会话encryption_key
- 10. Codeigniter是否有默认的会话值?
- 11. Laravel会话没有存储
- 12. 没有cookies的会话
- 13. 会话对象没有`request_token`
- 14. PHP没有创建会话
- 15. 没有cookie的PHP会话
- 16. 没有Express的Socket.io会话
- 17. J_security_check会话没有结束
- 18. 没有Cookie的CakePHP会话
- 19. 会话没有jQuery中
- 20. 没有cookies的Scalatra会话
- 21. PHP没有开始会话?
- 22. Codeigniter会话适用于本地主机上的所有项目
- 23. 破坏特定会话的会话Funda
- 24. nhibernate没有机会更新?
- 25. Codeigniter本地会话或ci会话库
- 26. Codeigniter本机会话类的问题
- 27. PHP会话并没有破坏用户注销
- 28. 关键Bug会话在Kohana 3.x中没有破坏
- 29. 在Internet Explorer中会话没有被破坏
- 30. 会话不破坏
你为什么要破解会话变量cookie? –
我不想破解。如果有人攻击了网站会话,他们可以做任何事情。现在我正在使用数据库会话。 – balaphp