問題タブ [sessionid]

PHPSESSIDで2つのCookieを取得した場合、phpスクリプトはセッション変数をどのように処理しますか？$ _SESSIONに最初のPHPSESSIDからの変数または最後のPHPSESSIDからの変数を入力しますか？または単にそれらをマージしますか？

アドオンをインストールできる Web アプリケーションがあります。これらのアドオンを作成するには、同じ構造を持つ新しい Web アプリケーションを作成し、メイン アプリケーションからアセンブリを参照します。

この後、aspx (マークアップ) ファイルをメイン アプリケーションにのみコピーします。これにより、マークアップ ページとアセンブリへの参照が作成され、デバッグできるようになります。

これは、私が修正を加えるまではすべて正常に機能していました。最後に作業してから変更されたのは、VS2010 SP1 のインストールだけです。

コードにポイントがあります-外部コードとしてどこで発生しているのか正確にはわかりませんが、セッションIDが変更されており、セッション内のすべてが失われています。

レポートを含む新しいウィンドウを開くコードがあります。

この後、ベース ページでブレークポイントにヒットします。

同じブレークポイントが再びヒットしますが、今回は SessionID が変更されました!

この時点でコールスタックを読み取ることができますが、私のコードにはセッションを変更するものは何もありません。

スタック トレースは次のようになります。

【アプリドメイン移行】とは？

セッション ID を変更する原因が何かわかりますか!?

編集：

わかりました、これは VS SP1 ではなく IE10 プレビューに関連している可能性があります。

今、window.ShowModalDialog を実行すると、そのダイアログから window.open. Internet Explorer が新しいセッションを作成します

ログインの成功時にセッション変数を設定するログイン ページがあります。次に、ログイン ページが管理ページにリダイレクトされます。管理ページは、セッション変数を問題なく読み取ることができます。しかし、コンテンツ div に viewUsers.php をロードする jQuery load() 関数を実行すると、セッション変数がなくなります。奇妙な部分は、セッション ID が同じであることです。

admin ページと viewUsers ページの両方で var_dump() を使用しました。管理ページには、ログイン ページからのすべての適切な変数が表示されますが、$_SESSION の jQuery load() 関数 var_dump で呼び出される viewUsers ページは空白です。$_COOKIE['PHPSESSID'] の var_dump には適切な ID がありますが、私には意味がありません。

これは、セッション変数を設定する方法です。

これはjQueryです

すべてのページの一番上に session_start() があります。jQuery load() 関数の代わりに window.open と window.location を試したときも、セッション変数は機能しませんでした。

正しいセッション ID を持っているにもかかわらず、セッション変数がどのように失われているか。誰かがこれに光を当てることができれば、本当に感謝しています!

現在、隠しフィールドにデータを入力し、ロードの代わりにポスト関数を使用してそれを回避しています。これが最善の方法ではないことは理解していますが、それを行う方法を理解できる唯一の方法です。

編集： これは、セッション変数を正常に読み取ったインデックスの上部です。

これがビューユーザー全体です

別の編集: これはビューユーザーをロードするための JavaScript コードです。投稿を使用している唯一の理由は、セッション変数を渡すためにセッション変数を非表示フィールドとして設定したためです。ビューユーザーでは、foreach ループを使用してセッション変数を設定します。これは安全ではないことを理解しています。関数maintainUsers（）{

私のプロジェクトの (奇妙な) 要件の 1 つとして、Cookie を使用しないセッションを使用したいと考えています。同時に、「session.use_trans_sid」をオンにすることはできません:(

他に方法があれば誰か教えてください??

ありがとうマニッシュ

PHP マニュアルでセッションの脆弱性について読み、この問題に遭遇しました。ユーザーの認証に成功した後、セッション ID を生成するにはサーバー/コードが必要です。

今、phpがいつセッションIDを設定するのかわかりません。私のphpアプリケーションはMVCに似ており、すべてがindex.phpを通過し、index.phpの上部には、（ログイン後の）すべてのページがセッションを使用するため、session.start（）があります。

これは脆弱性のリスクですか? または、次のように表現する必要があります: これは、私のサイトへの最初の到着時に、ログイン前であっても、サーバーがそのユーザーのセッション ID を設定することを意味しますか? session.start() はユーザー ID を設定しますか、それとも最初のセッション変数を設定するまで生成されないセッション ID ですか。$_SESSION['foo']='bar' を実行するまでは?

セッションが実際に session.start() で既に生成されている場合、認証後にセッション ID を再生成することをお勧めします。その場合、問題は解決しますか?

session_idPHP SESSIONSですべてのリストを取得することはできませんか？

注：サーバーにファイルを保持する必要があります。1つのファイルは1つのセッションに相当します。また、SESSIONの有効期限が切れた場合の古いファイルの動作を確認する必要があります。

アドバイスありがとうございます。

私は自分のシステムでwampを構成し、このローカル環境で開発兼テストを行っています。ログアウト機能に取り組んでいて、生成されているセッションIDがブラウザ内で同じであることに気づきました。

例-chromeは、ログアウトしてログインした後でも、すべてのユーザーに対して常にセッションID=abcを生成します。IEは、すべてのユーザーに対して常にセッションID=xyzを生成します。

これはwamp/私のテスト環境の問題ですか？

私のログアウトphpスクリプトの下を見つけてください-

ログインに成功した後にセッションIDを再生成することは、単なるカーゴカルトの振る舞いではなく、本当に良い習慣であるかどうか疑問に思っています。

理論を正しく理解すれば、セッションハイジャックを防ぐ（または少なくとも難しくする）はずですが、誰かがログイン前のセッションを盗むことができれば、フィッシング詐欺師が再生されたセッションで再びそれを行うのを止めることができるかどうかはわかりません。

私はSpringに焦点を合わせていません（現在Javaも使用していません）。長所と短所に興味があります。

サーブレットセッションについて質問があります。web.xmlで構成されたjsfを使用してWebアプリを作成することについて質問があります。

つまり、セッションがタイムアウトすることはありません

また、データベースにログインしているすべての人から作成したセッションIDを保存します。

私の質問は、データベースに保存したセッションIDを持つすべてのアクティブなセッションを強制的に破棄するのはどうですか。

管理ページが必要な状況では、すべてのアクティブなセッションIDを一覧表示して、破棄することができます。

ご協力いただきありがとうございます。