我是新来的PHP编码,基本上我创建一个用户面板,用户登录,从那里他们访问他们的仪表板,让他们做事情。PHP会话安全缺陷?
我使用PHP的会议要做到这一点,基本上在仪表板的顶部,我把:
session_start();
if(!session_is_registered(myusername)){
header("location:index.php");
这使得它如此谁没有登录的用户是重新定向到索引。 PHP。
的问题是,有某些命令用户可以从仪表板做的,是这样的: /dashboard.php?reset=true
而且做这些命令不需要某种原因活动会话。任何人都可以转到/dashboard.php?reset=true并重置所有内容,而无需激活会话!
有谁知道如何解决这个安全漏洞,允许人们做到这一点?
感谢
这听起来像是在执行'/dashboard.php?reset = true'时的安全缺陷,而不是PHP。根据定义,会话要求客户端为每个请求(通过cookie或查询字符串)提供一个令牌。这并不意味着在采取行动之前你必须寻找它。你可以发布那些代码(进行重置)以及其他安全检查吗?问题可能在于此。 – jheddings
缺少'出口;'。可以肯定的是,这不是如何使用['session_is_registered'](http://php.net/session_is_registered)(注意过去式)。 – mario
@Mario - 这不就是答案吗? – Robbie