PHP क्या ग्राहक कभी भी $ _SESSION चर सेट कर सकता है?

Question

क्या कोई परिदृश्य है जहां कोई ग्राहक/उपयोगकर्ता/हैकर $_SESSION स्वयं चर सेट कर सकता है (सर्वर कंप्यूटर पर चल रहे दुर्भावनापूर्ण सॉफ़्टवेयर को छोड़कर। मैं ज्यादातर ब्राउज़र के माध्यम से मतलब करता हूं)?

कारण मैं पूछता हूं कि this question की वजह से मैंने कुछ दिन पहले पूछा था। तब से मैं इस विषय पर बहुत उलझन में हूं, लेकिन मुझे सत्र निर्धारण और अपहरण का बेहतर विचार मिला है।

इसे जितना संभव हो सके इसे रखने के लिए, यदि मैं isset($_SESSION['validated']) जैसे कुछ पेज को मान्य करता हूं, तो क्या यह सुरक्षित है?

Answer 1

हां यदि आप $_SESSION वैरिएबल को सीधे फ़िल्टर किए गए उपयोगकर्ता इनपुट को असाइन कर रहे थे।

जो मुझे मेरे बिंदु पर लाता है: उपयोगकर्ता से ट्रस्ट इनपुट न करें। कभी

यदि आप वास्तव में इनपुट फ़िल्टर कर रहे हैं, तो मुझे नहीं लगता कि यह कैसे किया जा सकता है।

Answer 2

हां, यह संभव है। विकिपीडिया या Google पर और अन्य सामान्य सुरक्षा समस्या Session fixation पढ़ें - वेब इसके बारे में लेखों से भरा है।

Answer 3

मुझे नहीं लगता कि जब तक उपयोगकर्ता के पास सर्वर तक पहुंच न हो, तब तक $ _SESSION वैरिएबल को बदला नहीं जा सकता है, न कि वे इसे बदल नहीं सकते हैं, लेकिन वेरिएबल्स को फ़िल्टर करना या इसकी सफाई करना अनुशंसा की जाती है यदि यह उपयोगकर्ता में प्रवेश करता है।

Answer 4

मुझे इस सवाल को काफी समझ में नहीं आता है, लेकिन यह सवाल मुझे लगता है कि आप क्या करना चाहते हैं इसके बारे में बताते हैं।

सुनिश्चित करें कि आप jQuery शामिल हैं।

कोड:

<html> 
<head> 
    <title>Tab name</title> 
    <meta charset = "UTF-8" /> 
    <script type = "text/javascript" src = "http://code.jquery.com/jquery-1.1.13.min.js"></script> 
    <script type = "text/javascript" src = "script.js"></script> 
</head> 
<body> 
</body> 

</html> 

फिर एक फ़ाइल addsession.php कहा जाता हैं।

addsession.php के लिए कोड:

<?php session_start(); ?> 
<?php 
    if(isset($_POST["name"])){ 
    $name = $_POST["name"]; 
    } else { 
    print '<p style = "color: red; font-weight: bold;">Name not defined!</p>' . "\n"; 
    $name = "unknownsessionvariable"; 
    } 
    if(isset($_POST["value"])){ 
    $value = $_POST["value"]; 
    } else { 
    $value = ""; 
    } 
    $_SESSION[name] = value; 
?> 

script.js के लिए कोड:

function session(name, value){ 
    $.post(addsession.php, {"name" : name, "value" : value}); 
    window.location.reload(); // This line maybe should be here depending on what you are doing. 
} 
$(document).ready(function(){ 
    session("sessvar", "supervalue"); 
}); 

उदाहरण कोड का टुकड़ा:

function session(name, value){ 
 
    $.post("http://www.eastonwerling.com/addsession.php", {"name" : name, "value" : value}); 
 
    //window.location.reload(); 
 
$(document).ready(function(){ 
 
    session("sessvar", "supervalue"); 
 
});

<script src="http://code.jquery.com/jquery-1.11.3.min.js"></script> 
 
<p>This example depends on www.eastonwerling.com (my website).</p>