1

通常、デフォルト/tmpは共有ホストのすべてのアカウントに開かれているため、通常session.save_pathは別の場所を使用して設定することをお勧めします。

/home/username/example_session_tmp/にない限り、より良い場所はにあると想定されてい/home/username/public_html/ますか?

public_htmlもしそうなら、ハッカーがスクリプトを挿入して読み取ることができた場合、それはまだ脆弱ではないでしょう../example_session_tmp/か? それとも、それが唯一の方法であり、通常、サイトがスクリプト インジェクションから保護されていると想定されているのでしょうか?

注: データベース セッション ハンドラーは代替オプションですが、それが不可能であると仮定しましょう。

4

2 に答える 2

1

ハッカーがあなたのサイトにスクリプトを入れた場合、ハッカーがセッションを妨害するのを防ぐためにできることはたくさんありません。Webサーバーがセッションにアクセスできる場合、そのユーザーはアクセスできます。どこに貼り付けても、ハッカーはへの簡単な呼び出しで見つけることができますsession_save_path

総括する:

  • ハッカーがアクセスできないようにします。サーバーが広く開いている場合、誰がセッションを気にしますか?これを最初に保護します。
  • save_pathをに設定すると、他の共有ホスティングユーザーがセッションを改ざんするの~/sessions を防ぐことができます。これは、Webサーバーにアクセスする誰かがセッションを見たり改ざんしたりするのを防ぐことはできません。
于 2012-08-22T20:14:19.607 に答える
1

を入れることに同意します/home/username/example_session_tmp/

しかし、

  • サーバーごとにサイトが 1 つしかない場合は、パスを変更する必要はありません
  • ソリューションを共有ホスティングにしたい場合は、新しいパスに移動することをお勧めします (apache-mpm-itkまたはを確認できますphp5-fpm) 。
  • 複数のサーバーが必要な場合、最も簡単な方法は、セッションをデータベースに配置するか、セッション ファイル用の共有フォルダー (nfs、samba) を作成することです。
于 2012-08-22T20:14:05.857 に答える