我应该依靠会议吗?

时间:2011-07-26 22:12:53

标签: php session networking social

我正在创建一个社交/博客平台,我已将他们的用户ID存储在会话中,因此我会将会话中的ID回显到页面上。

一个人可以编辑会话以识别另一个用户吗?

由于

4 个答案:

答案 0 :(得分:2)

这取决于您使用$_SESSION变量的方法 - check this related question以获得更多说明。

答案 1 :(得分:1)

会话只是一个带有标识符的cookie。

当我访问您的网站时,您的网络服务器将为我创建一个标识为XA7i9的会话(仅作为示例),我的浏览器将其存储为会话cookie。现在,我的浏览器将按照每个请求发送XA7i9。当您在$_SESSION内存储内容时,它将永远不会离开您的服务器。

但是,如果我篡改会话cookie并猜测你的会话标识符,比如b8a76,你的网络服务器可能会认为我是你。这取决于您的实施。

question on Stackoverflow可能会让您感兴趣。

答案 2 :(得分:0)

如果您不允许他这样做,用户无法编辑您的会话变量。

他可以偷走另一位用户的SESSID

请注意PHP.ini的register_globals指令

答案 3 :(得分:0)

用户可以拦截其他用户的会话cookie值,将自己的cookie更改为该用户,并接管他们的会话。防止这种情况的唯一方法是在您的网页上使用SSL。这与去年Facebook允许用户选择“始终使用HTTPS”选项的原因相同。