这篇文章指出
如果您的站点在共享Web服务器上运行,请注意同一服务器上的任何其他用户都可以轻松查看任何会话变量.
在像GoDaddy这样的大型主机上,是否真的没有针对此的保护措施?这真的很容易吗?如果这很容易,我主机上其他用户的会话变量在哪里,我可以查看它们?
这非常简单,因为默认情况下php.ini#session.save_path指向/tmpLinux安装和类似的Windows.这很糟糕,因为大多数用户都有读写权限,/tmp因为他们需要它们.您可以通过将您的sesion状态存储在数据库中或通过更改您的PHP应用程序存储它的会话文件来防止这种情况,session_save_path
京公网安备 11010802040832号 | 京ICP备19059560号-6 