这些问题是相关的:one和two,前者说它用于防止同一域中的应用之间的名称冲突。后者说它可以用于反会话劫持。
虽然前者似乎是session_name()的真正目的,但我不确定后者。它真的可以防止会话劫持吗?我认为它可以让攻击者混淆查找cookie名称而不是默认的PHPSESSID,但这就是全部吗?
session_name()的真正目的是什么?
答案 0 :(得分:2)
在我所遇到的同一个域中有两个(或更多)不同的应用程序。
允许在同一个域上共存的不同会话是session_name(),恕我直言的真实范围。
答案 1 :(得分:2)
它真的可以防止会话劫持吗?
没有。攻击者访问您的站点并查看您正在使用的会话名称而不是默认值(只需查看标题),这是微不足道的,因此此功能并不真正提供任何会话劫持保护。其目的是允许您将默认PHPSESSID更改为其他内容,或避免同一域中的应用程序之间发生冲突。