La compréhension de la session enregistrer le chemin d'accès comme sans valeur et de la sécurité

Je n'utilise que des sessions pour stocker les variables et a été l'espoir de s'assurer que la session ne pouvait pas être manipulées par les utilisateurs. Alors je suis allé vérifier mon phpinfo et a constaté que la session d'enregistrer le chemin d'accès a été défini à non valeur. Est-ce normal pour les utilisateurs qui utilisent uniquement des séances pour les variables? Puis-je avoir de quoi s'inquiéter si les séances d'enregistrer le chemin d'accès est défini sur aucune valeur?

OriginalL'auteur jason328 | 2012-10-04

  1. 8

    La valeur par défaut pour le session.save_path paramètre est "" (chaîne vide), dont la valeur par défaut /tmp.

    À partir d'un "travail" point de vue, il n'y a pas besoin de s'inquiéter qu'il est défini à non valeur (comme c'est le cas par défaut); cependant, d'un point de vue sécurité, il est.

    Avertissement dans le manuel:

    Si vous laissez cet ensemble pour un monde lisible par répertoire, par exemple /tmp (le
    valeur par défaut), les autres utilisateurs sur le serveur peut être en mesure de détourner des sessions de
    obtenir la liste des fichiers dans ce répertoire.

    Alors je doit mettre la session enregistrer le chemin d'accès à un obscur nom de fichier et qui permettra de résoudre le problème de sécurité?
    Remarquez qu'il dit des autres utilisateurs sur le serveur, qui est, les autres utilisateurs ayant accès au serveur. Si vous n'avez pas explicitement de donner à vos utilisateurs l'accès au serveur il n'y a pas beaucoup à s'inquiéter de la sécurité, point de parce que par défaut tmp dossier n'est pas publiquement accessibles via des requêtes http.
    Est - il Correct, à l'exception de toute l'utilisateur qui peut, pour une raison quelconque, d'accéder à exécuter PHP aurez accès à la /tmp dossier. Cela pourrait être un compagnon de développeur web, ou quelqu'un de malveillant qui a trouvé un trou. Fermant les yeux, car il semble trop dur de s'inquiéter n'est guère une bonne norme de sécurité.
    Je pense que vous avez de plus gros problèmes à s'inquiéter si un utilisateur pour une raison quelconque pourrait accéder à exécuter du PHP sur votre machine.
    Correct. Si vous disposez de plusieurs sites web en cours d'exécution, essayez peut-être de la création du répertoire à l'intérieur de chaque site spécifique (comme /home/example.com/session) et ont l'inclure dans l'en-tête de chaque page qui utilise les sessions que les appels session_save_path('/home/example.com/session');. Cela devrait également garder les autorisations de fichier/dossier gérable.

    OriginalL'auteur newfurniturey

  2. 0

    vous pouvez définir save_path par créer/modifier .htaccess par ce codes:

    php_value session.save_path /mnt/stor1-wc1-dfw1/123456/www.domain.com/web/sessions
php_value session.save_handler files

    pour plus de détails, visitez ce site:Sessions PHP État des Serveurs sur le Cloud Sites Et Comment Résoudre le problème des Sessions PHP

    OriginalL'auteur Hamid