php – Cookies是安全风险吗？

假设我们有一个网站询问用户他的名字.

然后,网站将此值存储在cookie中,并在下一页上通过PHP检索它并以某种方式使用它(可能页面将名称显示为文本).

用户是否可以修改cookie数据以注入恶意代码？是否应该通过脚本检索cookie数据进行清理？

(这是一个假设情景.显然,这里不需要cookie.)

解决方法:

Could a user modify the cookie data to inject malicious code? Should cookies be sanitized as they’re retrieved by the script?

注入恶意代码？不是PHP代码,但你应该在使用它们之前清理cookie值.

用户可以轻松修改,添加和删除Cookie,并将其视为不受信任的用户输入.它们与任何其他用户输入一样容易受到XSS和SQL注入的影响.

此外,除非您使用SSL,否则Cookie与请求中的GET或POST数据一样容易嗅探.恶意互联网服务可以拦截或修改cookie.另请参阅Firesheep以获取有关如何滥用和不信任cookie的示例.

标签：php,cookies,security,code-injection,sanitization
来源： https://codeday.me/bug/20190726/1540243.html