Heim > Backend-Entwicklung > PHP-Tutorial > PHP安全编程:会话数据注入_PHP教程

PHP安全编程:会话数据注入_PHP教程

WBOY
Freigeben: 2016-07-13 10:19:09
Original
821 Leute haben es durchsucht

PHP安全编程:会话数据注入

一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外,还有写入权限。因此,存在着编写一段允许其他用户添加,编辑或删除会话的脚本的可能。下例显示了一个允许用户方便地编辑已存在的会话数据的HTML表单:

 

<!--?php

session_start();

?-->

Nach dem Login kopieren

脚本inject.php执行由表单所指定的修改:

<!--?php

session_start();

$path = ini_get(&#39;session.save_path&#39;);

foreach ($_POST as $sess_name =--> $sess_data)
{
  $_SESSION = $sess_data;
  $sess_data = session_encode;

  file_put_contents($path/$sess_name, $sess_data);
}

$_SESSION = array();

?>
Nach dem Login kopieren

 

此类攻击非常危险。攻击者不仅可以编辑你的用户的数据,还可以编辑他自己的会话数据。它比会话劫持更为强大,因为攻击者能选择所有的会话数据进行修改,从而使绕过访问限制和其他安全手段成为可能。

针对这个问题的最好解决方案是将会话数据保存在数据库中。参见专题前面的内容。

延伸阅读

 


www.bkjia.comtruehttp://www.bkjia.com/PHPjc/876631.htmlTechArticlePHP安全编程:会话数据注入 一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外,还有...
Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage