0

これらの質問は関連しています:1つと2つ、前者は同じドメイン内のアプリ間の名前の競合を防ぐために使用されると言います。後者は、セッションハイジャック防止に使用できると述べています。

前者がの本当の目的のように見えますがsession_name()、後者についてはよくわかりません。それは本当にセッションハイジャックから保護しますか?攻撃者がデフォルトではなくCookie名を見つけるのを混乱させる可能性があると思いますが、それPHPSESSIDだけですか?

本当の目的はsession_name()何ですか?

4

2 に答える 2

2

同じドメインに2つ(またはそれ以上)の異なるアプリケーションがあることがあります。

同じドメインで異なるセッションが共存できるようにすることが、session_name()、IMHOの実際のスコープです。

于 2012-08-21T22:19:31.967 に答える
2

それは本当にセッションハイジャックから保護しますか?

いいえ。攻撃者がサイトにアクセスして、デフォルトの代わりに使用しているセッション名を確認するのは簡単です(単にヘッダーを表示するだけです)。したがって、この関数は実際にはセッションハイジャック保護を提供しません。その目的は、デフォルトのPHPSESSIDを別のものに変更したり、同じドメイン上のアプリ間の衝突を回避したりできるようにすることです。

于 2012-08-21T22:21:38.923 に答える