PHP Warning: session_start(): The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,'
Обратившись за помощью в поисковик - нашел несколько статей решения этой проблемы
<?php
function my_session_start()
{
if (isset($_COOKIE['PHPSESSID'])) {
$sessid = $_COOKIE['PHPSESSID'];
} else if (isset($_GET['PHPSESSID'])) {
$sessid = $_GET['PHPSESSID'];
} else {
session_start();
return false;
}
if (!preg_match('/^[a-z0-9]{32}$/', $sessid)) {
return false;
}
session_start();
return true;
}
?>
Пока я такую проверку не ввел, введу на днях.
Вопрос заключается в том - не считается ли это уязвимостью? - в сессии просто хранятся не которые данные, и высвечиваются иногда пользователю, любо изменяются - но все записи в сессию и изменения берутся из базы данных (допустим перешагнул по форуму - запись id форума если такой форум существует).
Вопрос - нельзя ли поставить (изменить индификатор сессии к примеру так jkshgjas8g7asgk%00) - или еще как то не с 0 байтом чтоб сервер можно было взломать? - просто если сервер так язвим то я быстренько начну исправлять код, - его просто во многих местах нужно исправлять... а раз для сервера это не считается угрозой то можно оставить на потом