1回答

守着星空守着你

如果此文件中的代码不安全，则可能。由于我们看不到它，因此不可能说它是如何被损害的。但一般来说，面向Web的请求应该无法控制你的php代码，除非你有一个严重不安全的设置。这些值无关紧要。存储在 中的数据永远不会存储在客户端上，而只会存储在服务器上。这在php中由接口控制（默认情况下，它以纯文本文件的形式存储在服务器上）。$_SESSIONsession.handlersession.save_path倾向于使会话不安全的事情几乎总是由于代码编写不当或服务器配置不当造成的。您可以采取的一些措施来提高会话的安全性，如下所示：在用户登录时始终使用（这可以防止会话固定攻击）。session_regenerate_id(true)当您注销用户时，始终删除客户端上的会话 Cookie（请参阅 http://php.net/session-destroy 中的第一个示例）。例如，当用户从公共计算机登录时，这可以防止会话接管攻击，因为会话可能并不总是在服务器端立即删除，并且cookie允许客户端在服务器上重新触发会话TTL。仅通过安全连接传输会话 Cookie（请参阅session.cookie_secure为了防止某些 XSS 和 CSRF 向量，请考虑使用 session.cookie_httponly 和 session.cookie_samesite 来防止恶意 JS 打开此类攻击。始终使用CSRF令牌以及所有修改请求，以保护用户免受通过会话严格损害其访问权限。这是一个额外的安全层。请记住，这不是一个未删节的列表。安全性是分层构建的，需要在用例和目标中进行大量深思熟虑。

0 0

0