저번에 이어서 세션 이야기를 마무리해보겠다.
세션을 사용하려면 페이지 시작할 때 session_start()를 넣어준다.
세션을 이용해 간단한 인증을 해볼것이다.
세션인증을 위한 세션값을 만들어야하는데
islogin 값으로 아이디와 비밀번호를 연결해 해쉬값으로 저장하고
name 값으로 아이디를 저장했다.
(세션인증값 설정)
로그인 해보겠다.
(로그인)
(세션 확인)
로그인 후 세션쿠키값을 확인 할 수 있다.
하지만
세션값으로 우리는 알아낼 수 없다.
세션 쿠키값에 저장된 값들은 서버에 있기 때문이다!
그렇다면 서버에 가서 세션에 우리가 설정해 놓은 값이 잘 저장되었는지 확인해 보겠다.
(세션값 확인)
우리가 설정한 대로 해쉬값과 아이디 값이 보인다.
그러면 전에 쿠키값을 이용한 간단한 인증을 한 것 처럼
세션도 똑같이 해보겠다.
DB를 지금은 다루지 않을 것이므로
간단하게 세션값이 있으면 인증을 성공시켜 줄 것이다.
(인증 코드)
(인증 성공)
그렇다면
세션값을 어떻게 파기 시킬까?
세션 값은 세션이 종료되면, 즉 웹브라우저가 닫히면 세션값이 파기된다.
그렇지 않고
웹 브라우저가 켜진 상태에서 세션값을 파기하려면??
session_dstroy() 함수가 php에 있다. (사용해보겠다.)
(session_destroy() 사용)
사용 후 확인해보니..
(세션 파일 존재)
세션 파일이 존재한다.
그 세션파일에 들어가보니 내용은 전부 사라져있다.
즉 파기할 때 session_destroy()만 사용하면 세션 파일은 사라지지 않고
그 세션 파일에 저장된 값들이 지워지는 것이다.
그렇다면 세션 파일까지 지워주려면?
쿠키값을 제거할 때랑 똑같다.
(세션파일 삭제)
즉 세션을 파기하려면
세션 내용도 지워줘야하지만 세션 쿠키도 지워주어야 한다.
'Hacking > Web Hacking' 카테고리의 다른 글
| WebHacking - 아파치 웹 서버 설정 파일 이해 (0) | 2017.02.21 |
|---|---|
| WebHacking - PHP File Upload 취약점, 웹 서버 글로벌 설정 파일 (2) | 2017.02.20 |
| WebHacking - Cookie, Session (인증) (0) | 2017.02.17 |
| WebHacking - CSRF Attack (0) | 2017.02.16 |
| WebHacking - XSS Attack (1) | 2017.02.15 |