是否可以修改 $_SESSION 变量？

Question

恶意用户是否可以将 $_SESSION（在 php 中）变量设置为他想要的任何值？

Answer 1

很大程度上取决于您的代码。非常明显的事情：$_SESSION['username'] = $_REQUEST['username']。

Answer 2

是的，通过使用其他用户的会话数据，如下所示： http://phpsec.org/projects/指南/4.html

Answer 3

这取决于您如何设置会话变量。用户可以利用您设置它们的方式。

最常见的会话攻击是会话固定：http://en.wikipedia.org/wiki/Session_fixation

Answer 4

如果你为他提供了一种方法（糟糕/不安全的代码），这是可能的。然而，这通常不太可能。

Answer 5

通常不会，但如果例如您的 PHP 中存在远程代码执行漏洞，则可能会出现这种情况。

Answer 6

除非你在代码中做错了什么，否则他无法在你的服务器上设置它，他能做的就是窃取其他用户的会话cookie并以这种方式进入......换句话说；他可以更改自己的会话 cookie，您的 $_SESSION 使用该 cookie 来识别他的身份

Answer 7

不，如果您的代码正确并且不允许根据未经验证的用户输入设置值，则不会。

Answer 8

是的。如果您使用用户可以编辑的 cookie 或其他类似请求方法中的内容来与会话进行交互，那么就会发生变化。例如，假设您创建了一个在线商店并将项目 ID 存储在 cookie 中，并在页面刷新时将其推送到会话中。在页面上时，用户可以编辑 cookie，因此当进入会话时，它已被修改。

Answer 9

是的，当 REGISTER_GLOBALS 开启时。