page1.php中:用户可以修改PHP会话吗?
<?php
session_start();
if ($_POST['password'] == "testpass")
$_SESSION['authenticated'] = true;
?>
使page2.php
<?php
session_start();
if (isset($_SESSION['authenticated']) && $_SESSION['authenticated'] == true) {
echo "Super secret stuff!";
}
?>
用户可以得到在没有超级安全的密码?
的用户不能修改服务器上的PHP会话。他们只能伪造合法的cookie并伪装成已登录的用户 - 但这需要他们首先窃取有效的cookie。 – AbdullahC 2011-12-29 12:34:05
不是你需要你对真实变量的检查在你的测试用例,但比较布尔值,当你最好不要使用相同的比较。 $ test === true。力争尽可能严格。 – MetalFrog 2011-12-29 12:58:55
@MetalFrog我知道,但如果没有验证(只是在这种情况下,基准),我会用==我还可以提供“真”或1或“1” – BronzeByte 2011-12-29 13:09:36