В веб-приложении PHP я использую идентификатор сеанса как имя файла. В определенный момент, эти файлы будут удалены, с кодом, какМожно ли использовать идентификатор сеанса как имя файла в PHP?
unlink('tmp/'.session_id());
Я отдаю себе отчет в том, что пользователь может изменить его/ее идентификатор сессии. Поэтому мне интересно, можно ли изменить идентификатор сеанса на что-то вроде «/../../etc/passwd».
Мой вопрос сейчас, если такой «взлом» возможен, и как я могу лучше защитить свой код.
Заранее благодарю вас за ответы!
Комментарий: Я знаю об опасностях и методах предотвращения, касающихся пользователей, угоняющих сеансы других пользователей, это не проблема в моем случае на данный момент.
Хорошо, спасибо, - если это экономит очень скрупулезные настройки, лучше использовать его. Другие пользователи могут использовать это программное обеспечение на своих серверах ... – user2349661
@ user2349661: если они могут использовать его на своих серверах, вы можете проверить, существует ли папка 'tmp' и доступна для записи на всех платформах, прежде чем реализовать что-то подобное. –