关于php会话的几个问题
我听说有几次会话需要用mysql\u real\u escape\u字符串或htmlspecial字符清理,因为它们可以修改。我想知道的是它们是如何修改的,因为当我看到一个名为PHPSESSID的网站会话时,它包含的值总是加密的 首先,它使用什么加密方法以及如何修改。我想知道这一点的原因是为了更好地理解如何根据人们在高强度会话中使用的方法来保护自己关于php会话的几个问题,php,security,Php,Security,我听说有几次会话需要用mysql\u real\u escape\u字符串或htmlspecial字符清理,因为它们可以修改。我想知道的是它们是如何修改的,因为当我看到一个名为PHPSESSID的网站会话时,它包含的值总是加密的 首先,它使用什么加密方法以及如何修改。我想知道这一点的原因是为了更好地理解如何根据人们在高强度会话中使用的方法来保护自己 谢谢。它们无法修改,它们存储在服务器上。PHPSESSID只是一个标识符,它不是加密的,而是随机生成的(因此它对每个用户都是唯一的)。人们通常通过跨
谢谢。它们无法修改,它们存储在服务器上。PHPSESSID只是一个标识符,它不是加密的,而是随机生成的(因此它对每个用户都是唯一的)。人们通常通过跨站点脚本攻击窃取PHPSESSID cookie来劫持会话。阅读此问题的答案,了解php会话的精彩摘要-它们无法修改,它们存储在服务器上。PHPSESSID只是一个标识符,它不是加密的,而是随机生成的(因此它对每个用户都是唯一的)。人们通常通过跨站点脚本攻击窃取PHPSESSID cookie来劫持会话。阅读此问题的答案,了解php会话的详细摘要-会话存储在服务器上。这意味着所有数据都存储在临时文件中,并在x时间后删除。浏览器不存储会话数据。它存储会话ID,服务器使用该ID获取正确的临时文件 因此,用户实际上从未访问会话中存储的变量。但提到了他们的会议。可以获取其他人的会话ID。这样,您可以假装是另一个用户。如果会话用于验证
阅读会话劫持。会话存储在服务器上。这意味着所有数据都存储在临时文件中,并在x时间后删除。浏览器不存储会话数据。它存储会话ID,服务器使用该ID获取正确的临时文件 因此,用户实际上从未访问会话中存储的变量。但提到了他们的会议。可以获取其他人的会话ID。这样,您可以假装是另一个用户。如果会话用于验证
阅读会话劫持。可以修改的是客户端发送给您的会话id。因此,与所有用户提供的数据一样,在任何地方使用之前,都需要对其进行“清理”,例如在将mysql\u real\u escape\u字符串插入mysql数据库之前。可以修改的是客户端发送给您的会话id。因此,与所有用户提供的数据一样,在任何地方使用它之前,都需要对其进行“清理”,例如在将mysql\u real\u escape\u字符串插入mysql数据库之前