Is it possible for a malicious user to edit $_SESSION?
我将一些重要信息保存在
谢谢。
顺便说一句,还可以编辑
默认情况下,
如果您担心有人更改会话(会话劫持),请查看
$ _ SESSION存储在您的网络服务器上,因此无法直接通过网络对其进行更改。当然,您的PHP应用程序可以更新$ _SESSION,因此,攻击者仍然有可能欺骗您的应用程序对$ _SESSION做一些不应做的事情-这全都取决于应用程序的具体情况。
$ _ COOKIE存储在用户的浏览器中,这意味着用户有权更改自己的cookie。
cookie的主要用途之一是身份验证。用户登录,信息存储在$ _SESSION中。 Cookie(存储在$ _COOKIE中)记录了用户的会话ID,以便您的应用程序知道哪个会话属于已登录的用户。
是的,黑客可以劫持您可以使用
看
如果您是管理员并且登录,(会话在服务器上)
黑客通过xss =>将其与此会话一起在他的PC中制作cookie并记录,更改密码或添加admin,然后终止会话
Cookie也可以偷走,
看这段代码
setcookie("admin","admin_log",time()+3600);
如果黑客知道像开源这样的代码,他可以登录为
通过firefox插件制作cookie作为cookie名称和值
$ _ COOKIE包含客户端发送到您的Web服务器的信息。最常见的是浏览器cookie的内容,但是t可能包含任何内容,因此请不要信任它。
每次请求页面时,都会通过用户代理发送cookie。用户代理不必是浏览器。它可能是一个小的Shell脚本。即使是浏览器,Firefox也有一个" edit cookie "扩展名。