hell world

摘要： 我这样认为：PHP在建立会话后，会在客户端cookie中写入sessionid,其后每次发送http请求后都会发送该sessionid来验证身份，但是划线部分说使用隐藏表单或查询字符串传送回话令牌，有这个必要吗？不是说会请求发送会自动发送sessionid吗？还有最后一句http cookie才是实现这一目地的常规方法更摸不着头脑。 如果我从别人的机器上获得对方登录某个网站的会话ID，那么我是否可以通过伪造该ID在他的帐号上进行操作呢？不懂得是获得对方id后，是否还需要进行登录，如果ID就是对一个账户的确定的话就没必要登录了吧？ 阅读全文