La compréhension de la session enregistrer le chemin d'accès comme sans valeur et de la sécurité
Je n'utilise que des sessions pour stocker les variables et a été l'espoir de s'assurer que la session ne pouvait pas être manipulées par les utilisateurs. Alors je suis allé vérifier mon phpinfo et a constaté que la session d'enregistrer le chemin d'accès a été défini à non valeur. Est-ce normal pour les utilisateurs qui utilisent uniquement des séances pour les variables? Puis-je avoir de quoi s'inquiéter si les séances d'enregistrer le chemin d'accès est défini sur aucune valeur?
OriginalL'auteur jason328 | 2012-10-04
Vous devez vous connecter pour publier un commentaire.
La valeur par défaut pour le
session.save_path
paramètre est""
(chaîne vide), dont la valeur par défaut/tmp
.À partir d'un "travail" point de vue, il n'y a pas besoin de s'inquiéter qu'il est défini à non valeur (comme c'est le cas par défaut); cependant, d'un point de vue sécurité, il est.
Avertissement dans le manuel:
Remarquez qu'il dit des autres utilisateurs sur le serveur, qui est, les autres utilisateurs ayant accès au serveur. Si vous n'avez pas explicitement de donner à vos utilisateurs l'accès au serveur il n'y a pas beaucoup à s'inquiéter de la sécurité, point de parce que par défaut
tmp
dossier n'est pas publiquement accessibles via des requêtes http.Est - il Correct, à l'exception de toute l'utilisateur qui peut, pour une raison quelconque, d'accéder à exécuter PHP aurez accès à la
/tmp
dossier. Cela pourrait être un compagnon de développeur web, ou quelqu'un de malveillant qui a trouvé un trou. Fermant les yeux, car il semble trop dur de s'inquiéter n'est guère une bonne norme de sécurité.Je pense que vous avez de plus gros problèmes à s'inquiéter si un utilisateur pour une raison quelconque pourrait accéder à exécuter du PHP sur votre machine.
Correct. Si vous disposez de plusieurs sites web en cours d'exécution, essayez peut-être de la création du répertoire à l'intérieur de chaque site spécifique (comme
/home/example.com/session
) et ont l'inclure dans l'en-tête de chaque page qui utilise les sessions que les appelssession_save_path('/home/example.com/session');
. Cela devrait également garder les autorisations de fichier/dossier gérable.OriginalL'auteur newfurniturey
vous pouvez définir save_path par créer/modifier .htaccess par ce codes:
pour plus de détails, visitez ce site:Sessions PHP État des Serveurs sur le Cloud Sites Et Comment Résoudre le problème des Sessions PHP
OriginalL'auteur Hamid