有问题,寻求专家意见
如果一个网站通过共享平台在托管公司注册,那么该网站的会话变量会被在同一共享平台上工作的其他人入侵吗?
谢谢。
我认为共享主机在这方面不太安全,因为我个人见过几个共享主机,每个人都可以查看存储会话文件的临时文件夹。根据php默认值,文件名等于会话ID,这意味着我可以从那里轻松地转到相应的站点,将文件名放入cookie中,从而劫持会话。
正如其他回答和评论中所提到的,有能力的主持人可以通过适当的管理和沙箱来避免这种情况。调查你的。
还有其他会话存储方法,例如通过数据库。还可以经常重新生成会话ID,以减少任何潜在劫持的窗口。看看http://php.net/manual/en/session.security.php和http://php.net/manual/en/class.sessionhandler.php了解更多详细信息。
尽管如此,您还是最好完全避免会话变量中的敏感数据。
首先你应该问问自己:你信任谁?会话的存在(除了在请求之间共享数据之外)使开发人员能够存储和控制用户无法访问的数据。这就是问题所在,这是通过会话解决的。
如果您处于共享环境中,其他进程和用户可以访问您存储的信息并对其进行更改,但这是一个很大的问题,他们也可以访问您的数据库和代码。因此,在系统内出现邪恶攻击者的情况下,没有什么能真正帮助你。
唯一有帮助的是主管部门。在共享环境中,对服务器上运行的每个应用程序进行沙盒处理至关重要。他们必须在每个用户的基础上设置session_save_path,就像对待其他一切一样。