可能性の重複:
Is it possible to edit $_SESSION by hacker?ウェブサイトでセッションを表示/編集する方法はありますか?
私はセッションを使用して、いくつかの特定のコンテンツを表示するには、ユーザーのIDとROLEを扱うウェブサイトを構築していますので、私の質問は、セキュリティ上の理由から、主に。
このセッションはログインに成功したときに作成されます。
セッションを編集したり、IDやROLEを別のものに変更するなどの方法がありますか。他の場所にアクセスできるようになりますか?
セッション変数は通常の変数です。
$_SESSION['id']=1;
セッションの内容を確認したい場合は、単に別の番号
$_SESSION['id']=2;
を割り当て、それを編集するには:
var_dump($_SESSION);
番セッションデータがファイルに書き込まれていますコード内に$_SESSION変数を設定する以外は、WebユーザーがアクセスできないWebサーバー上で実行します。
eval()ユーザー入力がなければ、セッションは安全です。ユーザをセッションデータの特定の部分にリンクさせるのは、手動で変更できるセッションIDを持つクッキーだけです。多くのアクティブなセッションがある場合、有効なセッションIDを推測し、他の誰かのセッションを乗っ取る可能性があります。より良い情報については
:あなたはeval` `を懸念している場合は、あなたにもinclude``を心配する必要がありますIs it possible for a malicious user to edit $_SESSION?
:
はこのexisiting URLを参照してください。次に、サーバー上のファイルを編集する攻撃者やデータベースストアが使用されている場合の攻撃者は、SQLインジェクションを使用してセッションデータを変更しますか? – hakre