Sul nostro sito Web, quando viene rilevato un ID di sessione PHP non valido, viene registrato e rigenerato.
Questa sessione non valida è stata registrata:
n040jl1nujch72tkrmr0uilnl1, s_vi=[CS]v1|2A19B9B4853135D2-60000109E00013F4[CE]
Qualcuno sta cercando di sfruttare una vulnerabilità?
Questo è il modo corrente di rigenerazione dell'ID
// If it's invalid, generate a new ID.
$chars="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789,-";
srand((double)microtime()*1000000);
$i = 0;
$pass = '' ;
while ($i<=35){
$num = rand() % 33;
$tmp = substr($chars, $num, 1);
$pass = $pass . $tmp;
$i++;
}
session_id($pass);
Ma nei prossimi giorni, stiamo aggiornando la base di codice per utilizzare questo è necessario rigenerare.
session_id(uniqid());