несколько вопросов относительно php сессий

Question

я слышал несколько раз, что сеансы нужно очищать с помощью символов mysql_real_escape_string или htmlspecial, потому что они могут быть изменены. Что мне интересно, так это то, как они модифицируются, потому что когда я смотрю на сеанс веб-сайтов с именем PHPSESSID, значение, которое он содержит, всегда зашифровано.

Прежде всего, какой метод шифрования он использует и как он модифицируется. причина, по которой я хочу знать это, состоит в том, чтобы лучше понять, как обезопасить себя на основе того, какие методы люди используют там для сессий хай-джек

спасибо.

Answer 1

Они не могут быть изменены, они хранятся на сервере. PHPSESSID - это просто идентификатор, он не зашифрован, а генерируется случайным образом (поэтому он уникален для каждого пользователя). Люди перехватывают сессии, крадя cookie-файл PHPSESSID, обычно с помощью межсайтовой скриптинговой атаки. Прочитайте ответ на этот вопрос, чтобы получить хорошую сводку сессий в php - Что мне нужно хранить в сеансе php, когда пользователь вошел в систему

Answer 2

То, что можно изменить, это идентификатор сеанса, отправленный вам клиентом. Таким образом, как и для всех пользовательских данных, их необходимо «очистить» перед тем, как использовать их где-либо, например, с помощью mysql_real_escape_string, прежде чем вставлять их в базу данных MySQL.

Answer 3

Сессии хранятся на сервере. Это означает, что все данные хранятся во временных файлах и удаляются через некоторое время. Браузер не хранит данные сеанса. В нем хранится идентификатор сеанса, который сервер использует для получения нужного временного файла.

Таким образом, пользователь никогда не имеет доступа к переменным, хранящимся в сеансе. Но есть ссылка на их сессию. Можно получить чужой идентификатор сессии. Таким образом, вы можете притвориться другим пользователем. Если сессии используются для проверки.

Подробнее об угоне сеанса здесь .