ホームページ > バックエンド開発 > PHPチュートリアル > PHP 安全なプログラミング: セッション データ インジェクション_PHP チュートリアル

PHP 安全なプログラミング: セッション データ インジェクション_PHP チュートリアル

WBOY
リリース: 2016-07-13 10:19:09
オリジナル
818 人が閲覧しました

PHP セキュア プログラミング: セッション データ インジェクション

セッションの公開と同様の問題はセッション インジェクションです。このタイプの攻撃は、Web サーバーがセッション ストレージ ディレクトリに対する読み取り権限だけでなく、書き込み権限も持っていることに基づいています。したがって、他のユーザーがセッションを追加、編集、削除できるようにするスクリプトを作成することができます。次の例は、ユーザーが既存のセッション データを簡単に編集できる HTML フォームを示しています。

リーリー

スクリプト inject.php は、次の形式で指定された変更を実行します:

リーリー

この種の攻撃は非常に危険です。攻撃者はユーザーのデータだけでなく、自分自身のセッション データも編集する可能性があります。攻撃者がすべてのセッション データを選択して変更できるため、アクセス制限やその他のセキュリティ対策をバイパスできるため、セッション ハイジャックよりも強力です。

この問題に対する最善の解決策は、セッション データをデータベースに保存することです。このトピックの前半を参照してください。

多読


http://www.bkjia.com/PHPjc/876631.htmlwww.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/876631.html技術記事 PHP での安全なプログラミング: セッション データ インジェクション セッションの公開と同様の問題にセッション インジェクションがあります。このタイプの攻撃は、Web サーバーがセッション ストレージ ディレクトリへの読み取り権限を持っているだけでなく、...
関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート