我今天注意到,在我的网站 session 文件中,有一些文件的文件名明显小于其他文件,例如:
标准 session 文件:
sess_0020cc255681808f78c08b67cd88cbcea13f45ee7629754ed82ccb8b010cf83d2b353b7136847f2876d99f3297a5def5bcc62b433d6d56d7f1b301f82c833aad(5 + 128 character file length)
异常 session 文件:
sess_629aca24e094f17d02b3d105ebe9e5d4(5 + 32 character file length)
这个站点非常繁忙,流量很大(大约 22k 访问者 pcm),查看 session 文件夹时,这些非常短的 session 文件中有大约 1%(实际上是 0.92%)。
我过去有read up去年(2015 年)实现此网站重新设计之前的很多 session ,目前在我的 php.ini 中:
session.cookie_httponly=1
session.use_only_cookies=1
session.cookie_secure=1
session.entropy_file=/dev/urandom
session.hash_function=whirlpool
session.session.use_trans_sid=0
session.entropy_length=32
编辑(附加):
session.hash_bits_per_character = 4
session.sid_length 未定义(无法定义),因为此构建使用的是 PHP 5.6.2
据我所知,这通常应该没问题。尽管我已经阅读了有关使用 session.entropy_length 的各种内容,但我很少阅读有关如何确保最小文件长度的其他主题。但这似乎不适用于这个问题。
entropy_length 值是唯一一个我不确定它的用途和需要的值。
我意识到下面的问题我可以尝试一下,看看它不会造成任何伤害,但是如果上述解决方案 是 的预期用途session.entropy_length ,知道这会很有用。几乎没有关于 entropy_length 实际上是什么的文献。
我认为 session name collision 目前可能存在一个小问题。 , 坦率地说,这么多 session 文件如此之长,但少数几个文件却相对较小,这看起来是错误的。
更新
从评论中有一些细节可能值得我在这里总结一下:
htaccess 文件没有对 PHP 的任何方面进行任何更改/temp。最佳答案
如果您的网站像您描述的那样受欢迎,这很可能是黑客/黑客企图。黑客会经常访问该站点并使用捕获的或(在这种情况下)欺骗的 session ID,并且他们会使用正常的 32 字节十六进制进行欺骗。
如果您修改 cookie“PHPSESSID”以包含任何文本,PHP 将拾取它并创建一个具有该 ID 的 session ,以及一个相应的 sess_[sessionId] 文件。根据我的测试(您可以自己尝试),PHP 将使用任何长度的 ID 并接受它并使用它,而不管 ini 设置如何。
好消息是,如果你执行 session_id() 然后它会返回欺骗 ID,这样你就可以了
但这不会停止创建 session 文件。
或者创建您自己的 session 处理系统并避免使用session_start();那么您可以在使用前手动验证 session_id 格式。
关于php - 奇怪的 session 行为(文件名字符串长度),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39704328/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我有一个字符串input="maybe(thisis|thatwas)some((nice|ugly)(day|night)|(strange(weather|time)))"Ruby中解析该字符串的最佳方法是什么?我的意思是脚本应该能够像这样构建句子:maybethisissomeuglynightmaybethatwassomenicenightmaybethiswassomestrangetime等等,你明白了......我应该一个字符一个字符地读取字符串并构建一个带有堆栈的状态机来存储括号值以供以后计算,还是有更好的方法?也许为此目的准备了一个开箱即用的库?
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
我的目标是转换表单输入,例如“100兆字节”或“1GB”,并将其转换为我可以存储在数据库中的文件大小(以千字节为单位)。目前,我有这个:defquota_convert@regex=/([0-9]+)(.*)s/@sizes=%w{kilobytemegabytegigabyte}m=self.quota.match(@regex)if@sizes.include?m[2]eval("self.quota=#{m[1]}.#{m[2]}")endend这有效,但前提是输入是倍数(“gigabytes”,而不是“gigabyte”)并且由于使用了eval看起来疯狂不安全。所以,功能正常,
在我的Rails(2.3,Ruby1.8.7)应用程序中,我需要将字符串截断到一定长度。该字符串是unicode,在控制台中运行测试时,例如'א'.length,我意识到返回了双倍长度。我想要一个与编码无关的长度,以便对unicode字符串或latin1编码字符串进行相同的截断。我已经了解了Ruby的大部分unicode资料,但仍然有些一头雾水。应该如何解决这个问题? 最佳答案 Rails有一个返回多字节字符的mb_chars方法。试试unicode_string.mb_chars.slice(0,50)
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚