Многие методы инъекций не зависят от знания имен ваших таблиц. Помимо того, что это просто безопасность, хотя неизвестности, самый простой является OR 1=1
инъекции трюк, что делает ваш пароль проверить WHERE
возвращающие все время (это simplicifcation конечно)
Как вы видите, нет ни одной таблицы -name необходимо. С помощью этого трюка человек может войти в систему как кто угодно, так что это может быть печально известный «кражи сеанса», который вы имеете в виду.
Я считаю, что это легче сделать, чем украсть реальный сеанс PHP, так как для последнего вам, вероятно, нужен доступ к фактическому серверу.Если вы не включаете в себя: кто-то копирует ваш файл cookie и делает вас. Зависит от того, как ваш вход в файл привязан к файлу cookie ->, если система делает новый действительный сеанс из файлов cookie, тогда у вас может быть проблема. Как украсть куки? Ну, клиент может прочитать его собственный файл cookie, поэтому простой XSS (злоумышленник может заставить вас взглянуть на какой-то код) может заставить вас невольно прочитать ваш файл cookie и отправить его где-нибудь.
Bottomline что
- свои причины для этого быть не инъекции являются ложными, и вы действительно должны смотреть, чтобы это.
- Да, сеанс кражи возможен, даже легко в зависимости от того, как вы его определяете.
- Нет, сеанс воровства, по-видимому, не является первой причиной, которую я проверил, но опять же, мы ничего не знали о вашем коде.
Любой журнал можно проследить? Проверьте журналы сервера. У вас утечка имени пользователя и пароля другим? – Raptor
Возможно, да, захват сеанса всегда возможен. Трудно сказать, какой конкретный ответ вы ищете. Возможно, загляните в проект [suhosin project] (http://www.hardened-php.net/suhosin/), который имеет некоторые улучшения безопасности сеанса. – complex857
Почти все возможно в этом сумасшедшем мире. Не смотря на какой-то код, мы не можем сказать вам, что может быть неправильным. –