SOS! php的session安全性。 这和安全性有关吗?ASP,CGI,JSP也都是这样的!!! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 通过运行时的环境变量得到URL和?后面的部分如果?后面部分不为空说明错误。我自己的想法哪位仁兄有其他好想法请指出。 peacock兄可能没有看懂我的意思。我自己做了一个webmail, 用一个session userid来保存当前用户的用户名,然后在收信和发信时都使用这个session, 我想很多webmail也是这样做的吧!但是后来就发现有问题了,比如我的收件箱是inbox.php,本来是不带任何参数的,但是如果inbox.php?userid=otherid, 这样就跑到别人的信箱里面去啦!当然我安全有关系了,我并且为此付出了代价!faint!后来想的两个办法,一是把userid换成一个很长的随机字符串,能猜到的人相信还是少数;再一个办法就是把password也用session保存下来,每次收发信时都进行密码认证!而在asp里面就可以避免这个问题,比如在asp里面你就没办法去修改session,因为session的存取都是用的session("mysession")=xxx来做的。而且我还看到一个网站的用户登录信息也是用session来保存的,我就成功地把自己改成了别人,可以查看别人的资料和信箱等等。 哦!非常有道理,谢谢!不过可以自己编一个加密和解密的程序,另外可以用session_set_save_handler()来实现。 在test2.php判断:if(session_is_registered("userid")) 如何监控google ad? php读写文件的问题 关于code=**&id 谁能帮我分析一下这条语句 问个简单问题,急!! how to read a file by php 谁给个mysql下载地址啊 !谢谢~~~~ 一个类值的问题 学asp.net好还是学php好? 用PHP发邮件(使用mail函数) 想实现招商银行的网上支付吗.....???( apache 的配置,请教如何增加一个虚拟主机
如果?后面部分不为空说明错误。我自己的想法哪位仁兄有其他好想法请指出。
我自己做了一个webmail, 用一个session userid来保存当前用户的用户名,
然后在收信和发信时都使用这个session, 我想很多webmail也是这样做的吧!
但是后来就发现有问题了,比如我的收件箱是inbox.php,本来是不带任何参数
的,但是如果inbox.php?userid=otherid, 这样就跑到别人的信箱里面去啦!
当然我安全有关系了,我并且为此付出了代价!faint!
后来想的两个办法,一是把userid换成一个很长的随机字符串,能猜到的人相信
还是少数;再一个办法就是把password也用session保存下来,每次收发信时都
进行密码认证!
而在asp里面就可以避免这个问题,比如在asp里面你就没办法去修改session,因
为session的存取都是用的session("mysession")=xxx来做的。
而且我还看到一个网站的用户登录信息也是用session来保存的,我就成功地把
自己改成了别人,可以查看别人的资料和信箱等等。