可能性の重複:
Is it possible to edit $_SESSION by hacker?ウェブサイトでセッションを表示/編集する方法はありますか?
私はセッションを使用して、いくつかの特定のコンテンツを表示するには、ユーザーのIDとROLEを扱うウェブサイトを構築していますので、私の質問は、セキュリティ上の理由から、主に。
このセッションはログインに成功したときに作成されます。
セッションを編集したり、IDやROLEを別のものに変更するなどの方法がありますか。他の場所にアクセスできるようになりますか?
:
はこのexisiting URLを参照してください。次に、サーバー上のファイルを編集する攻撃者やデータベースストアが使用されている場合の攻撃者は、SQLインジェクションを使用してセッションデータを変更しますか? – hakre