php session.use_cookies和会话固定攻击
我看了一下,但我不明白是否使用此代码php session.use_cookies和会话固定攻击,php,session-cookies,session-fixation,Php,Session Cookies,Session Fixation,我看了一下,但我不明白是否使用此代码 我容易受到会话固定攻击: myPage.php 我只按原样使用这段代码,没有使用URL参数或任何其他东西,所以 此代码容易受到php会话固定攻击吗?如果是,如何进行?我不是php专家。 您可以发布一个攻击示例吗?当您使用url传递ID时,会话固定攻击可以附加,例如: http://unsafe.example.com/?SID=I_WILL_KNOW_THE_SID 如果其他人访问此链接,他可以访问其他人的帐户 为了避免这种情况,您必须不接受来自GET
我容易受到会话固定攻击: myPage.php
我只按原样使用这段代码,没有使用URL参数或任何其他东西,所以此代码容易受到php会话固定攻击吗?如果是,如何进行?我不是php专家。
您可以发布一个攻击示例吗?当您使用url传递ID时,会话固定攻击可以附加,例如:
http://unsafe.example.com/?SID=I_WILL_KNOW_THE_SID
如果其他人访问此链接,他可以访问其他人的帐户
为了避免这种情况,您必须不接受来自GET/POST变量的会话标识符
不要使用:
ini_set("session.use_trans_sid",1);
但是:
它禁用透明SID支持
与基于cookie的会话管理相比,基于URL的会话管理具有额外的安全风险。例如,用户可以通过电子邮件将包含活动会话ID的URL发送给朋友,或者用户可以将包含会话ID的URL保存到书签中,并始终使用相同的会话ID访问您的网站
您可以在此处阅读有关会话固定的更多信息:
您正在使用URL传递会话id,因此不,这是不安全的。链接帖子有什么不清楚的地方?因为您所做的与您应该做的完全相反。@PeeHaa如果我保留默认会话cookie,会话ID是否也会传递到URL?否,永远不会。默认情况下使用会话cookies。设置会话变量,然后立即检查其值不会产生任何影响。
ini_set("session.use_trans_sid",1);
ini_set("session.use_trans_sid",0);