如：name|s:4:"tasm";passwd|s:6:"111111";mode|s:1:"1"，也知道该session存放的位置，而且可以上传文件，所以嘛，当时就做了一次小小的黑客，在线的朋友的密码可以一览无余，呵呵：<?functionsubmit1(){global$username;print"<title>论坛监听器</title>";$i=0;if($username=="tasm"||$username=="Tasm"){print"你也太黑了吧？连我你也查？";return;}$path="/tmp/";$d=dir($path);while(...

我们有一个页面显示这个数组的信息，不停的刷新页面这个数组显示的内容在不停的变化，顺序、个数（有时候能显示全部的对象，有时却少几个），真是让人很恼火，你要丢就丢吧，老子最起码知道你会丢失，但你不丢失老自己变可有点儿不厚道啦。。。网上查了查，终于找出来原因，原来是程序池的设置作怪，有个叫“Web园”的东西不知道被那位同事改过，这一项数值的变化会引起Session值不稳定，具体设置是“打开IIS－－打开“应用程序池”中具体项的属性页中的“性能”选项卡，如图：下方的“web园”项中的值保证值为“1”，如果不是1,就会出现例用这个程序池的程序Session不稳定的情况发生。百度了一下儿“web园”,解释...

又有人说设session.timeout=99999。这种同样不行，session有最大时间限制。我经过测试发现最大值为24小时，也就是说你最大可以session.timeout=1440，1441都是不可以有，呵呵。本人测试环境：win2003+IIS6.0+ASP3.0。所以想通过设session.timeout的过期时间让session永不过期是不可能的。写到Cookies里是比较好的方法，网上也有很多这样的教程，这里就不再说了！还有就是用在要保持session的页里设隐藏iframe每隔一段时间（这个时间小于session.timeout的时间）把刷新一次frame里的空页面！实现方法...

 由于 Session 是以文本文件形式存储在服务器端的，所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件，PHP 自动修改 Session 文件的权限，只保留了系统读和写权限，而且不能通过 ftp 修改，所以安全得多。对于 Cookie 来说，假设我们要验证用户是否登陆，就必须在 Cookie 中保存用户名和密码（可能是 md5 加密后字符串），并在每次请求页面的时候进行验证。如果...

都是在session里面的$_SESSION['jieqiUserId'] = $user->getVar('uid', 'n');    $_SESSION['jieqiUserUname'] = $user->getVar('uname', 'n');    $_SESSION['jieqiUserName'] = (strlen($user->getVar('name', 'n')) >...

<?php//这个脚本是用来给用户输入口令，并判断口令是否正确的。//如果正确则转到欢迎页面。if ($login){    include("../include/config.inc.php3");    session_start();    $right_enter='0';    $query="select * from user_define where u...

 　对于 Cookie 来说，假设我们要验证用户是否登陆，就必须在 Cookie 中保存用户名和密码（可能是 md5 加密后字符串），并在每次请求页面的时候进行验证。如果用户名和密码存储在数据库，每次都要执行一次数据库查询，给数据库造成多余的负担。因为我们并不能 只做一次验证。为什么呢？因为客户端 Cookie 中的信息是有可能被修改的。假如你存储 $admin 变量来表示用户是否登陆，$admin 为 true 的时候表示登陆，为 f...

之前写过两篇文章《自定义SESSION（二）——数据库保存》和《我为什么不使用session》  但后来发现都有问题。前者处理在实际中几乎没什么用处，而且session回收还得自己另外处理。后者频繁的操作数据库，打来了很大的性能问题。  这两天仔细考虑下，大致给出一个方案，但还没有具体详细的测试。  1、session处理和统计结合起来。同时游客也都有记录。  2、完全使用数据库和cookie来模拟session的功能。  3、用户的对session的操作都尽量保证在一条sql语句完成。不用到s...

文章作者：Inking信息来源：邪恶八进制信息安全团队（www.eviloctal.com）前两天我所在的楼层断了网,郁闷的我什么也干不了.之前刚好看到剑心的blog里有篇疯狗写的关于利用session渗透的文章,文章写得很简单,到最后"小气"的疯狗也没有把利用程序发出来,所以我不管有没有用先把它写下来了.由于不能查资料,所以只好对这手册看,代码在很多方面可能还存在着缺陷.最烦人的还是正则和文件流操作的问题,循环来循环去的,把我的头都搞晕了,光是调试都花了整整一天的时间(写代码粗心大意没办法).希望大家多提提意见看法..疯狗的章:http://www.loveshell.net/blog/bl...

在坛子里经常看到一些关于Session的问题，下面做一个总结，希望对大家有所帮助：问：为什么Session在有些机器上偶尔会丢失？答：可能和机器的环境有关系，比如：防火墙或者杀毒软件等，尝试关闭防火墙。问：为什么当调用Session.Abandon时并没有激发Session_End方法？答：首先Session_End方法只支持InProc（进程内的）类型的Session。其次要激发Session_End方法，必须存在Session（即系统中已经使用Session了），并且至少要完成一次请求（在这次请求中会调用该方法）。问：为什么当我在InProc模式下使用Session会经常丢失？答：该问题通...

1. this.Session["username"] = null HttpSessionState 内部使用 NameObjectCollection 类型的集合对象来存储用户数据。因此使用 this.Session["username"] = null 仅仅是将该元素的值设为 null 而已，并没有真的将其从 Session 中移除。(为什么？晕~~~ 建议看看 C# 基础方面的书。) 正确的方法是：...