首页 手机软件 手机游戏 单机游戏 资讯文章 专题下载 游戏合集 文章合集 php下载 php教程 电脑软件
+ -
当前位置:首页 → 问答吧 → 没有SSL的php session真的非常不安全

没有SSL的php session真的非常不安全

时间:2009-11-22

来源:互联网

自己已经实测过了,
FF浏览器登陆,记录SID,换用Opera浏览器,修改为FF的SID,于是在Opera上变为已登陆状态。。。
ADSL断线重练,IP改变,可是刷新FF或OPERA依然是登陆状态。

结论,可能即使SID是按客户端IP+XXXX时间毫秒+XXX哈希生成,但是服务器端似乎缺少对SID的验证,如果是HTTP方式的话,COOKIE以明文方式传送,SID极易被人获取;没有SSL的服务器端还是别用session来鉴权吧!!!

作者: zuii   发布时间: 2009-11-22

作者: 邹梨明   发布时间: 2009-11-22

可以再加上浏览器标识,更安全

作者: 飞翔de希望   发布时间: 2009-11-22

不该这样的。是因为你的程序问题吧。

作者: sinopf   发布时间: 2009-11-23

不是session不安全,是你的验证逻辑有问题!

作者: axpwx   发布时间: 2009-11-24

如果是楼主说的那样,谁还敢用

作者: aba01239   发布时间: 2009-11-25

这不是session不安全,是你的电脑不安全,你的电脑都被黑客拿下了……

另外,COOKIE不是Session,Cookie 和 SSl 没有任何关系。。。

作者: stylecn   发布时间: 2009-11-25

加密cookie加上浏览器 user agent,已经非常安全

作者: sejie10011   发布时间: 2009-12-11

作者: 邹梨明   发布时间: 2009-12-13

相关阅读 更多

热门阅读

热门下载

更多
关于本站 免责申明 联系我们

Copyright 2006-2020 php爱好者(phpfans.net) All Rights Reserved.备案号:湘ICP备2023016114号-2

本站为非盈利性网站,不接受任何广告。本站所有资源均由网友上传,如有侵权,请发邮件至 [email protected] phpfans.net