Avete mai provato a modificare "a mano" il contenuto di un file di sessione? E' possibile che PHP se ne accorga e la invalidi?
(p.s. lo so che tecnicamente non è difficile, volevo sapere se vi risulta che lo faccia)
Avete mai provato a modificare "a mano" il contenuto di un file di sessione? E' possibile che PHP se ne accorga e la invalidi?
(p.s. lo so che tecnicamente non è difficile, volevo sapere se vi risulta che lo faccia)
provato varie volte in fase di test.... php non se ne accorge.[supersaibal]Originariamente inviato da luca200
Avete mai provato a modificare "a mano" il contenuto di un file di sessione? E' possibile che PHP se ne accorga e la invalidi?
(p.s. lo so che tecnicamente non è difficile, volevo sapere se vi risulta che lo faccia) [/supersaibal]
Se faccio un refresh riscrive il file correttamente, se passo ad altra pagina trasmette i dati modificati. Se inserisco un errore es.:
id|s:4:"1010"; e lo faccio diventare id|s:4:"11010"; quindi un id errato come lunghezza, puntera' all'id 11010. Se torno alla pagina iniziale e rifaccio l'operazione senza chiudere il browser trovo :
id|s:4:"1010";0";1";
Nessun controllo sintattico o di check sum della stringa o annullamento dell'id di sessione. Infatti per i casi piu' sensibili accodo il valore del dato che non deve assolutamente cambiare con il suo MD5() es.:
$_SESSION['check'] = MD5($_SESSION['user'])
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
boh...
però mi hai fatto venire in mente che io avevo allungato delle stringhe senza modificare gli indicatori di lunghezza... si sarà incasinato per quello. Anche se ha reagito in modo diverso...
grazie comunque
Permessi di invio
Rispondi quotando