ホームページ >バックエンド開発 >PHPチュートリアル >PHP 安全なプログラミング: セッション データ インジェクション_PHP チュートリアル
PHP 安全なプログラミング: セッション データ インジェクション_PHP チュートリアル
- WBOYオリジナル
- 2016-07-13 10:19:09822ブラウズ
PHP セキュア プログラミング: セッション データ インジェクション
セッションの公開と同様の問題はセッション インジェクションです。このタイプの攻撃は、Web サーバーがセッション ストレージ ディレクトリに対する読み取り権限だけでなく、書き込み権限も持っていることに基づいています。したがって、他のユーザーがセッションを追加、編集、削除できるようにするスクリプトを作成することができます。次の例は、ユーザーが既存のセッション データを簡単に編集できる HTML フォームを示しています。
リーリー
スクリプト inject.php は、次の形式で指定された変更を実行します:
リーリー
この種の攻撃は非常に危険です。攻撃者はユーザーのデータだけでなく、自分自身のセッション データも編集する可能性があります。攻撃者がすべてのセッション データを選択して変更できるため、アクセス制限やその他のセキュリティ対策をバイパスできるため、セッション ハイジャックよりも強力です。
この問題に対する最善の解決策は、セッション データをデータベースに保存することです。このトピックの前半を参照してください。
多読
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。