0
我一直在阅读到关于PHP安全一些文章,我碰到这个文章就来了:
http://shiflett.org/articles/session-fixation会话固定,关闭register_globals仍然是一个问题?
本文介绍了一个可以很容易地通过传递URL请求PHPSESSID变量(例如固定会话?PHPSESSID=1234
)。然而,当我在PHP.ini中将register_globals
设置为off
并且因此在url请求中使用?PHPSESSID=1234
时,PHP将$_GET
,$_SESSION
和$GLOBALS
作为不同类型的变量,这是我的理解(如果我错了,请纠正我)产生这个问题。
我已经测试了下面的脚本:
session_start();
if (!isset($_SESSION['count']))
{
$_SESSION['count'] = 0;
}
else
{
$_SESSION['count']++;
}
echo $_SESSION['count'];
但我似乎无法重现的会话固定我的服务器上,而我以为这是因为我有register_globals
设置为off
在我的PHP。 INI。
我错了吗?
确实很重要。