私は変数を格納するためにセッションのみを使用し、セッション保存パスがどのユーザーによっても改ざんされないようにしたいと考えていました。そこで、phpinfoを確認したところ、セッションの保存パスが値なしに設定されていることがわかりました。これは、変数にセッションのみを使用するユーザーにとっては正常ですか?セッションの保存パスが値なしに設定されている場合、心配することはありますか?
13583 次
2 に答える
12
設定のデフォルト値session.save_pathは""(空の文字列)で、デフォルトは/tmp。です。
「動作」の観点からは、値が設定されていないことを心配する必要はありません(これがデフォルトです)。ただし、セキュリティの観点からはあります。
マニュアルからの警告:
これを/tmp(デフォルト)などの誰でも読み取り可能なディレクトリに設定したままにすると、サーバー上の他のユーザーがそのディレクトリ内のファイルのリストを取得することでセッションを乗っ取ることができる場合があります。
于 2012-10-04T01:18:37.550 に答える
1
次のコードで.htaccessを作成/編集してsave_pathを設定できます。
php_value session.save_path /mnt/stor1-wc1-dfw1/123456/www.domain.com/web/sessions
php_value session.save_handler files
詳細については、このサイトをご覧ください:クラウドサイト上のPHPセッション状態サーバーと機能していないPHPセッションを修正する方法
于 2016-06-23T21:20:42.650 に答える