讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 人工智能 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 人工智能 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
php session安全吗?如何建一个安全的会话机制?
PHPz
PHPz 2017-04-10 14:27:23
[PHP讨论组]
0 2 1507
举报

研究了几天session安全,得出几个观点,请指正:

  1. 可以xss通过获得cookie信息,包含sessionid
  2. 可以通过截取http,获得header信息,包含sessionid
  3. 以上两种法都有一定条件和难度
  4. 如果服务端单靠sessionid识别会话信息,那么通过xss获取了sessionid后,会泄露用户信息,如果再通过ip,useragent信息加以校验,可以减少风险
  5. 如果截取了http,换用https方式可以减少风险
  6. 即便是使用https,ssl证书也是可以伪造

结论:

  1. xss漏洞更低级一些,但是造成的风险很大。
  2. http截取,截取范围很小,风险小。当然,截取到admin的信息,那就不一样了。
  3. http截取/ssl证书伪造的技术要求、环境要求较高,防治的成本也大。
PHPz
PHPz

学习是最好的投资!

全部回复(0)
专题推荐
更多>
热门话题
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部