- 论坛徽章:
- 0
|
一个 网页要通过session验证,怎么才能绕过session的验证?
奇怪了,呵呵,今天我刚注册来到这个论坛,就发现两个有关于session的讨论,下面的内容是我在另外一下帖子里的回复,仅供参考。
另外,我想浏览器是自动识别服务器的,sessionID不是乱发的,而是在什么网站使用了session,那么这个session就只被发送到该网站,所以在本地伪造只能说是徒劳,除非如楼上一位所说的,你能生成当前该网站在线用户的合法sessionID,并让浏览器发送到服务器,但这种可能性是微乎其微的,论安全性,你要保存敏感数据当然无可厚非地使用session,而不是cookie, cookie是经过简单编码并保存在客户机,根本没有安全性可言,论坛之类的使用它只是用了保存客户上次登录时间之类的信息,这样,一来可以减少服务器的资源开支,另外,就是利用这些变量来统计自上次登录后有多少新贴发布啊之类的信息,这些是不要求多少安全性的,你若是清空了它,你会发现,论坛的新帖统计数也就跟着变了。
http://chinaunix.net/forum/viewtopic.php?t=108075
session是针对每一个用户的,变量的值保存在服务器上,但是如何区分是哪个用户session变量呢,这里就有一个sessionID,这个值是通过用户的浏览器在访问的时候返回给服务器,当客户禁用cookie时,这个值也可能设置为由get来返回给服务器。目前,有的浏览器的sessionID不能跨页,有的可以,如IE,MYIE2对session的处理是不同的,后者只要你开过这个网站的页面,即使关闭后(指关闭子窗口,它是多页面浏览器),再重新打开,sessionID依然存在,而无需重新注册。sessionID是经过加密,加密算法比较复杂,被黑的可能性很小,而cookie是保存在客户机子上,安全性较差。另外,如楼上所说,session可以设置有效或无效,可手工建立,也可自动建立,可以设置过期时限。
另外,你所说的tmp可能只是环境变量而已,不是一个物理目录,可设置指向到用户物理的临时目录。 |
|