Мне интересно, можно ли изменить/установить/удалить мою переменную сеанса AS A USER.session variable php login realm
Я пересматриваю способ, которым я занимаюсь в царстве входа в PHP. Способ, которым я это делаю сейчас, - это проверить, установлена ли определенная переменная сеанса или нет. Однако это сломается, если кто-то может просто изменить свою переменную сеанса.
+1 для создания register_globals. –
Комментарий register_globals на самом деле не имеет смысла. Сам по себе он не помещает ничего в сеанс, у вас должна быть ошибка в вашем приложении, которую вы могли бы просто ввести без 'register_globals'. – Artefacto
Artefacto: «Если register_globals включен, это может быть возможностью, но для этого также потребуются другие обстоятельства». Да register_globals сам по себе не вызовет возможного эксплойта, но если они не всегда правильно определяют свои переменные или проверяют, это потенциально может позволить пользователю использовать его. Это было более или менее то, что я получал с «другими обстоятельствами, чтобы быть правдой». –