你应该把session.save_path放在哪里?
你应该把session.save_path放在哪里?
提问于 2012-08-23 04:05:57
由于默认/tmp通常对共享主机中的所有帐户开放,因此通常建议使用session.save_path并设置一个不同的位置。
是否假设只要不在/home/username/public_html/中,更好的位置就在/home/username/example_session_tmp/中
如果是这样的话,如果黑客能够在public_html中注入脚本并读取../example_session_tmp/,那么它不是仍然容易受到攻击吗?或者这是唯一的方法,并且通常假设您的站点不受脚本注入的保护?
注意:数据库会话处理程序是另一种选择,但让我们假设这是不可能的。
回答 2
Stack Overflow用户
回答已采纳
发布于 2012-08-23 04:14:20
如果黑客将脚本放入您的站点,您无法阻止他窃取会话。如果您的will服务器有访问会话的权限,那么该用户就会访问。无论你把它放在哪里,黑客都可以通过一个简单的session_save_path调用找到它。
总结一下:
- 可防止黑客访问。如果你的服务器是完全开放的,谁会关心会话呢?首先确保安全。
- 将save_path设置为
~/sessions应该可以防止其他共享主机用户篡改您的会话。这不会阻止访问您的who服务器的用户查看和篡改会话。
Stack Overflow用户
发布于 2012-08-23 04:14:06
我同意你在/home/username/example_session_tmp/中的做法。
但,
- 如果您每台服务器只有一个站点,则无需更改路径
- 如果您想要共享主机作为您的解决方案,移至新路径是个好主意(您可以检查
apache-mpm-itk或php5-fpm) - If您想要拥有多个服务器,最简单的方法是将会话放入数据库,或为会话文件创建一个共享文件夹(nfs,samba)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12080612
复制相关文章
相似问题
腾讯云开发者
