在GoDaddy(PHP)上劫持会话变量有多容易

参见英文答案 > Session hijacking and PHP                                    3个
This article指出

If your site is run on a shared Web
server, be aware that any session
variables can easily be viewed by any
other users on the same server.

在像GoDaddy这样的大型主机上,是否真的没有针对此的保护措施?这真的很容易吗?如果这很容易,我主机上其他用户的会话变量在哪里,我可以查看它们?

最佳答案
这非常简单,因为默认情况下,在Linux安装上,php.ini#session.save_path指向/ tmp,对于Windows,类似于/ tmp.这很糟糕,因为大多数用户对/ tmp具有读写权限,因为他们需要它们.您可以通过将您的sesion状态存储在数据库中或通过更改您的PHP应用程序存储它的会话文件来防止这种情况,使用session_save_path

转载注明原文:在GoDaddy(PHP)上劫持会话变量有多容易 - 代码日志