L'id de session est trop long ou contient des caractères illégaux, les caractères valides sont a-z, A-Z, 0-9 et '-,'

Comment résoudre :

Warning: session_start() [function.session-start]: L'id de session est trop long ou contient des caractères illégaux, les caractères valides sont a-z, A-Z, 0-9 et '-,' en ..... sur la ligne 3

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at ......:3)..... sur la ligne 3

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at .....:3)..... sur la ligne 3

  • n'ont pas de caractères illégaux en vous identifiant de session?
InformationsquelleAutor Nandini Bhaduri | 2010-07-06
  1. 15

    jetez un oeil à cette session_start() discussion pour un travail autour de:

    session_start() générer un avertissement si PHPSESSID contient des caractères illégaux

    Warning: session_start() [function.session-start]: L'id de session contient des caractères illégaux, les caractères valides sont a-z, A-Z, 0-9 et '-,' in /home/para/dev/mon_site/header.php sur la ligne 17

    À éviter, j'ai écrit ceci :

       <?php
        function my_session_start()
        {
            if (ini_get('session.use_cookies') && isset($_COOKIE['PHPSESSID'])) {
                $sessid = $_COOKIE['PHPSESSID'];
            } elseif (!ini_get('session.use_only_cookies') && isset($_GET['PHPSESSID'])) {
                $sessid = $_GET['PHPSESSID'];
            } else {
                session_start();
                return false;
            }

           if (!preg_match('/^[a-z0-9]{32}$/', $sessid)) {
                return false;
            }
            session_start();

           return true;
        }
    ?>
    • Comment voulez-vous retrouver avec des caractères illégaux dans PHPSESSID en premier lieu? Ne sont-ils pas généré automatiquement par PHP?
    • Ils le sont, mais un cookie qui vous relie à un id de session est côté client. Si le cookie changements à un format non valide (quelqu'un tente d'exploiter quelque chose) PHP remarquerez.
    • Indication de Nice, mais si quelqu'un est en s'appuyant sur session_autostart fonctionnalité... comment remplacer la fonction session_start() avec celui que vous êtes suggestiong ici?
    • Êtes-vous manque - dans l'expression régulière, puisque c'est un caractère valide.
    • L'original de la réplique introduit un problème de sécurité potentiel - j'ai édité pour le fixer.
    • Est-il un avantage de cette solution par rapport à cette autre option? - stackoverflow.com/a/33024310/1376820

    InformationsquelleAutor Sergey Eremin
  2. 44

    C'est une information de la vulnérabilité , un attaquant malveillant peut modifier les cookies et attribue des caractères illégaux, c'est PHPSESSID pour exposer ce PHP warning , qui contient en fait juteuse informations comme le chemin du fichier et le nom d'utilisateur !

    • Mes séances semblent être dans le cadre de ce type de "l'enquête", que j'apprécie, c'est un vieil réponse, mais auriez-vous des conseils sur la façon de verrouiller cette information? Mon journal d'erreur est ouvert uniquement pour le côté serveur, plutôt que large web, dois-je besoin d ' /devrait en faire plus?
    • le verrouillage de cette erreur ou de protéger votre script, vous devez vérifier les cookies avant session_start(), vérifiez la variable $_COOKIE['PHPSESSID']) si elle a des caractères illégaux, si c'est le cas alors votre script doit recharger la page ou tout simplement de les supprimer, si pas, alors vous pouvez procéder en toute sécurité.
    • Est intéressant de mentionner à partir de owasp.org docs: Cette vulnérabilité est empêché par simple rotation de rapport d'erreur off de sorte que votre code n'est pas de cracher des erreurs.
    InformationsquelleAutor EvilThinker
  3. 14

    Il y a un rapport de bug pour ce problème (https://bugs.php.net/bug.php?id=68063)

    Vous pouvez vérifier la réussite de votre session_start et générer l'id, si nécessaire:

    $ok = @session_start();
if(!$ok){
session_regenerate_id(true); //replace the Session ID
session_start(); 
}
    • il fonctionne pour moi, laissez-moi savoir si le script est enregistré ou melicious?
    • J'ai essayé cela et obtenir: session_regenerate_id(): Cannot regenerate session id - session is not active in FILE on line X suivie par la même erreur que le titre de la question...
    • cela semble être une autre question, mais cochez cette question: stackoverflow.com/questions/31436949/... cela semble similaire et a accepté de répondre.
    InformationsquelleAutor alpere
  4. 12

    J'ai édité Andron de la solution précédente! (correction de la valeur retournée) et a ajouté que l'évaluation de la sortie de my_session_start(). Solution précédente résoudre le problème avec le message d'erreur, mais j'ai besoin d'avoir de la session a commencé.

    /**
 * @return boolean return TRUE if a session was successfully started
 */        
function my_session_start()
{
      $sn = session_name();
      if (isset($_COOKIE[$sn])) {
          $sessid = $_COOKIE[$sn];
      } else if (isset($_GET[$sn])) {
          $sessid = $_GET[$sn];
      } else {
          return session_start();
      }

     if (!preg_match('/^[a-zA-Z0-9,\-]{22,40}$/', $sessid)) {
          return false;
      }
      return session_start();
}

if ( !my_session_start() ) {
    session_id( uniqid() );
    session_start();
    session_regenerate_id();
}
    InformationsquelleAutor Cendak
  5. 6

    Je suggère l'utilisation de "plus correct" version de la fonction.

    Plusieurs remarques:

    1. Plus correcte de l'expression régulière (permet de caractères dans la plage a-z A-Z 0-9 , (virgule) et - (moins)) comme décrit ici.

      Expression régulière dépend le php ini paramètres, comme décrit ici et ici.
    2. Session d'utilisation de nom de méthode

    Donc mis à jour la version ressemble à ceci:

    <?php
    function my_session_start()
    {
        $sn = session_name();
        if (isset($_COOKIE[$sn])) {
            $sessid = $_COOKIE[$sn];
        } else if (isset($_GET[$sn])) {
            $sessid = $_GET[$sn];
        } else {
            session_start();
            return false;
        }

       if (!preg_match('/^[a-zA-Z0-9,\-]{22,40}$/', $sessid)) {
            return false;
        }
        session_start();

       return true;
    }
?>
    InformationsquelleAutor Andron
  6. 2

    Si vous n'avez pas de soins sur les autres utilisateurs (par exemple: si c'est une interface privée), il suffit de cocher votre navigateur, trouver le cookie PHPSESSID (ou le nom que vous avez donné), les supprimer, et de les actualiser.

    InformationsquelleAutor Shaobo Wang
  7. 2

    Je suis venu avec cette méthode simple, juste essayer et attraper le démarrage de la session, et si il y a un problème de régénérer la session.

    try {
   session_start();
} catch(ErrorExpression $e) {
   session_regenerate_id();
   session_start();
}
    • Vous ne pouvez pas attraper des avertissements avec try-catch.
    InformationsquelleAutor danjfoley