В настоящее время я сканирую свой сайт на наличие уязвимостей .
У меня только одна средняя ошибка , относительно session_start().
Вот мой код:
<?php
// **PREVENTING SESSION HIJACKING**
// Prevents javascript XSS attacks aimed to steal the session ID
ini_set('session.cookie_httponly', 1);
// **PREVENTING SESSION FIXATION**
// Session ID cannot be passed through URLs
ini_set('session.use_only_cookies', 1);
// Uses a secure connection (HTTPS) if possible
ini_set('session.cookie_secure', 1);
$session_name = session_name();
if (isset($_COOKIE[$session_name]) && empty($_COOKIE[$session_name])) {
// This happens when someone does "clear cookie" in Firebug; it causes session_start()
// to trigger a warning. session_start() relies on $_COOKIE[$session_name], thus:
unset($_COOKIE[$session_name]);
}
session_start();
?>
Вот результат сканирования:
Установка слишком длинных или иных недопустимых значений сеанса приведет к
PHP session_start(): функция для выдачи исключения, которое может
разоблачить ваши внутренние пути.
Они используют:
Cookie PHPSESSID =.
Итак, я пришел к вам сегодня, чтобы немного помочь с их "ошибкой".