0
我设置的安全检查的一部分是随机生成一个整数作为存储为$_SESSION
变量的安全令牌。这通过特定的脚本进行验证,并根据验证是否为布尔值将布尔值设置为true或false(允许在通过其他检查时进入站点)。黑客有可能以某种方式设置此会话变量?如果是这样,怎么样?黑客可以设置PHP会话变量吗?
我设置的安全检查的一部分是随机生成一个整数作为存储为$_SESSION
变量的安全令牌。这通过特定的脚本进行验证,并根据验证是否为布尔值将布尔值设置为true或false(允许在通过其他检查时进入站点)。黑客有可能以某种方式设置此会话变量?如果是这样,怎么样?黑客可以设置PHP会话变量吗?
只有当你让他们,like Joomla did(另见:the write-up for CVE-2015-8562)。
如果您的应用程序不允许攻击者控制超级全局的内容,那么他们完全无法控制它们。开箱即用,这是不可能发生的。
其他方式攻击者可以控制的$_SESSION
内容:
但是总的来说,没有。
如果黑客可以设置会话变量,他也可以下载或修改您的所有代码。会议不可能成为目标。 –
一般不会。但是在应用程序中可能存在一个漏洞,允许类似的东西。 – Gumbo