PHPSESSID

[dAivEd]

Kad izlogojos no weblapas, vienmēr linka beigās man pievieno šo te:

 

&PHPSESSID=ae2478cc56fed7c61f8ad2e8e33da9a9

 

Kas tas tads? Ka viņu nonemt? Un vai to var izmantot ļaunumam ?

[Toms]

session.use_only_cookies

[Grey_Wolf]

Kas tas tads? Ka viņu nonemt? Un vai to var izmantot ļaunumam ?

tas ir Sessija identifikators ... --> lasi pa burtiem, PHP SESS ID ;)

ljoti iespejams ka tev brauzerii atslegti Kukiju izmantosana .. iesleedz vinju ;)

---

iisti ljaunumu nevar nodariit nekaadu, jo shamo var atrast arii kukkijos...

Edited July 25, 2008 by Grey_Wolf

[andrisp]

Ļaunums var būt tāds, ka pārsūtot linku kādam citam (epasts, skype, irc), ļoti iespējams, ka tas cilvēks atverot šo saiti, būs ielogojies kā sūtītājs. Vēl arī šādi padotus sesijas ID ir vieglāk spert.

 

Bet vispār dīvaini, ka parādas tas tikai pie izlogošanās nevis visu laiku. Vismaz autors tā saka.

[Aleksejs]

Man ir šāda versija:

Kad notiek izlogošanās sesijas handleris izdzēš sesijas cookiju. pēc tam (kā tam pareizi arī būtu jābūt) tiek reģenerēts sesijas ID, taču to vairs handleris nevar uzstādīt cookijā (jo dati jau aizsūtīti) tādēļ tas izmanto nākošo pieejamo metodi un uzstāda ar GET.

Kā jums šķiet, vai tā varētu būt?

[andrisp]

dAivEd, tev pēc izlogošanās linka atvēršanas notiek redirekts, kas redirektē uz URL, kam galā tas PHPSESSID ?

 

Un pēc tam tas PHPSESSID ir klāt visiem linkiem ?

[dAivEd]

dAivEd, tev pēc izlogošanās linka atvēršanas notiek redirekts, kas redirektē uz URL, kam galā tas PHPSESSID ?

 

Un pēc tam tas PHPSESSID ir klāt visiem linkiem ?

Ja tieši tā. Pec lapas refreša F5, kad parej uz citu linku tas PHPSESSID pazūd.

[andrisp]

Parādi izlogošanās skriptu visu.

[dAivEd]

Ja izdzeš nevajadzigos pieprasijumus pie mysql, tad kods ir sekojošs:

if(isset($_GET['quit']) and $_GET['quit'] == "1")
{
session_destroy();
header("location: index.php?page=$page");
}

[andrisp]

Izmēģini iznīcināt sesiju tā kā aprakstīts http://lv2.php.net/session_destroy