Php 劫持会话发生在远程计算机上？

我是新来的。我读了很多文章，但有些东西我不懂。要劫持会话，攻击者是否必须与受害者登录在同一台计算机上

我的意思是，就像进了图书馆，你忘了注销

或者没有这个就可以进行劫持？

假设

• 攻击者未危害客户端或服务器计算机，并且
• 未侦听（客户端本地、服务器本地或internet核心路由器上），或者连接已充分加密
• 会话令牌具有足够的随机性（您可以为php的内置会话机制假设这一点）
• 您的网站没有安全漏洞或漏洞

---

。。。劫持会话的唯一方法实际上是实际使用受害者以前使用的浏览器。您可以使用配置选项配置会话的生存期。默认设置（

0

）建议浏览器在关闭浏览器后立即使会话无效。

可以通过多种方式进行设置

黑客可以在受害者的计算机上找到自己的会话id，然后访问/放置病毒

他可以通过监听网络流量来嗅出cookie

还可以访问存储会话数据的目录（特别是在共享主机上）

如果不过滤输入数据，xss攻击是可能的

---

如果您加密您的连接或会话cookie，并且在用户登录时存储其ip/浏览器，然后检查请求的ip是否匹配，则可以防止某些危险。

会话存储在服务器上，并通过会话ID访问，这是一个浏览器cookie。

---

劫持会话的人所要做的就是使用其他人正在使用的会话ID。换言之，将他们的会话cookie更改为其他人的会话cookie。

良好阅读的可能副本：谢谢你，因为我在登录时阅读存储IP并检查每个页面上的IP是否可靠。这应该在php.ini中吗？@Gaourokelos是的，你可以在

php.ini

中设置此选项，但也可以在

.htaccess

或脚本本身中（通过）。请注意，默认值（会话cookie）是一个好值。