有疑问,寻找专家意见
如果某个网站是通过共享平台向托管公司注册的,那么该网站的会话变量是否会被在同一共享平台上工作的其他人攻击?
谢谢。
答案 0 :(得分:0)
我认为共享主机在这方面不太安全,因为我亲眼看到几个共享主机,每个人都可以查看存储会话文件的临时文件夹。由于php默认使用,文件名等于会话ID,这意味着我可以从那里轻松地转到相应的站点,将文件名放入cookie中,从而劫持会话。
正如其他答案和评论所述,主管主持人可以通过适当的管理和沙盒来避免这种情况。调查你的。
还有其他会话存储方法,例如通过数据库。人们还可以经常重新生成会话ID,以减少任何潜在劫持的窗口。有关详细信息,请查看http://php.net/manual/en/session.security.php和http://php.net/manual/en/class.sessionhandler.php。
所有这一切,你最好还是完全避开会话变量中的敏感数据。
答案 1 :(得分:-1)
起初你应该问自己:你信任谁?存在会话(除了在请求之间共享数据)以使开发人员能够存储和控制用户到达之外的数据。这就是问题,这可以通过会议来解决。
如果您在共享环境中,其他进程和用户可以访问您存储的信息并进行更改,但是 - 这是一个很大的问题 - 他们也可以访问您的数据库和代码。因此,对于系统内的邪恶攻击者,没有什么可以真正帮助你。
唯一有用的是行政管理。在共享环境中,对在服务器上运行的每个应用程序进行沙箱化至关重要。他们必须在每个用户群上设置session_save_path,就像他们应该对其他所有内容一样。