最近,我们的客户迁移到启用了suhosin的服务器。在那之前,我们使用会话共享在 wp 和我们的自定义 cms 之间切换。现在,会话详细信息在加密后保存在数据库中。在拔掉头发一天后,我们发现Suhosin是新服务器的罪魁祸首。有没有办法从 suhosin 值中读取会话数据?
您无法解密 suhosin 会话详细信息。最好更改身份验证方法。禁用suhosin是对安全性的妥协。
您可以使用 memcached 将会话保存在服务器或站点之间的持久内存缓存中,而无需保存到文件或数据库。
您还可以更改 suhosin 透明加密选项。 例如,这可能会解决您的问题:
suhosin.session.cryptdocroot
Type: Boolean
Default: On
Flag that decides if the transparent session encryption key depends on the Documentroot field.