【发布时间】:2013-10-09 20:07:57
【问题描述】:
我试图构建自己的安全 PHP 会话类,但实际上我想知道是什么阻止了某人模拟会话?
IE,为什么test.php上没有代码
$_SESSION['logged_in'] = true;
无法在 index.php 上工作
if($_SESSION['logged_in'] == True){
echo 'logged in';
}
我知道这样做的方法是通过将其锁定到 IP 地址和用户代理来生成安全 ID 来保护会话,但它究竟是如何工作的?
意思是如果我能够猜测会话 ID,我是否能够设置 $_SESSION['logged_in'] = true 并模拟登录?然后我应该更改 SESSION 变量以检查登录到更安全的吗?
抱歉我的问题,希望我能说得通...
【问题讨论】:
-
你的每一页都有
session_start();吗? -
你应该学习 OWASP 的 WebGoat 课程,它们可以帮助你更好地理解事物,这是创建安全事物的必要条件。owasp.org/index.php/Category:OWASP_WebGoat_Project