我正在创建一个社交/博客平台,我已将他们的用户ID存储在会话中,因此我会将会话中的ID回显到页面上。
一个人可以编辑会话以识别另一个用户吗?
由于
答案 0 :(得分:2)
这取决于您使用$_SESSION变量的方法 - check this related question以获得更多说明。
答案 1 :(得分:1)
会话只是一个带有标识符的cookie。
当我访问您的网站时,您的网络服务器将为我创建一个标识为XA7i9的会话(仅作为示例),我的浏览器将其存储为会话cookie。现在,我的浏览器将按照每个请求发送XA7i9。当您在$_SESSION内存储内容时,它将永远不会离开您的服务器。
但是,如果我篡改会话cookie并猜测你的会话标识符,比如b8a76,你的网络服务器可能会认为我是你。这取决于您的实施。
此question on Stackoverflow可能会让您感兴趣。
答案 2 :(得分:0)
如果您不允许他这样做,用户无法编辑您的会话变量。
他可以偷走另一位用户的SESSID
请注意PHP.ini的register_globals指令
答案 3 :(得分:0)
用户可以拦截其他用户的会话cookie值,将自己的cookie更改为该用户,并接管他们的会话。防止这种情况的唯一方法是在您的网页上使用SSL。这与去年Facebook允许用户选择“始终使用HTTPS”选项的原因相同。