gpt4 book ai didi

php - 是否有可能 "pirate" session 变量(我不想知道如何)

转载 作者:可可西里 更新时间:2023-10-31 22:40:52 25 4
gpt4 key购买 nike

我目前正在用 php 做一个网站,我们使用 Session 变量来存储每个用户的权限级别。

例如,如果你们中的任何一个人访问该网站,您将自动获得一个值为“member”的 session 变量。

我想问的是:攻击者是否有可能进入网站并修改“admin”而不是“member”的 session 变量的值

我不是在问如何,只是如果可能的话,如果是的话,攻击者需要什么样的特殊访问权限(例如:访问代码,......)

我有一个替代解决方案,即用会随着时间过期的 token 替换权限值。

第二种解决方案的实现时间更长。

感谢您的帮助!

最佳答案

不,除非:

  • 攻击者可以访问 session 变量的存储(通常是服务器的文件系统,但也可能是数据库)
  • 攻击者 intercepted a session cookie一个更有特权的用户。
  • 攻击者成功地固定了更高特权用户的 session (参见 session fixation 攻击)。

关于php - 是否有可能 "pirate" session 变量(我不想知道如何),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3443677/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com