我一直很好奇有关PHP会话名称的安全问题:PHPSESSID。
我注意到有些网站会重命名会话ID cookie,而其他网站则将其保留为默认值。
使用其他名称是否有任何安全优势?或者仅仅对每个用户能够跟踪多个会话有用吗?
答案 0 :(得分:2)
如果你想掩盖运行php的事实,那么你应该更改名称。然而,更常见的是,开发人员得到了重新发明风暴和编写自己(非常破碎)会话处理程序的可怕想法。这种方法中有9次比通常的session_start()安全得多。
答案 1 :(得分:2)
它没有丝毫差别。
答案 2 :(得分:2)
不,会话ID的名称只是用于标识会话ID的名称;只要您的系统知道该名称,您就可以将其更改为您想要的任何内容。
但如前所述,您可能希望更改名称以隐藏您的系统。但除了会话ID的名称之外,还有其他方面可用于识别您的系统。
答案 3 :(得分:0)
如果您非常担心会话劫持,有时会更改默认会话ID,但如果您采取最基本的步骤来清理数据,关闭注册全局数据,那么成功劫持会话的可能性非常小。只接受从表单中正确投射的特定POST或GET变量......
你可以阅读Session Fixation here(这是标准sessionId通常用于战斗的变化)..