今后我的程序将会尽量抛弃SESSION及原因

C 2018-4-11 7869

SESSION一般是用本地文件进行存储的,最近发现我的网站莫名其妙出现几十万个SESSION。

猜想是被另一种攻击刷SESSION造成的,因为SESSION和客户端浏览器一般是用COOKIE进行关联的,如果客户端COOKIE丢失,服务器就会创建一个新的SESSION。

于是某位注册一个账号,采用不存储COOKIE的某样工具,在我网站反复登录,产生大量SESSION占据磁盘空间。现在已经临时限制了登录总量,以后会采用客户端uid+sqlhash校对方式进行登录,避免这种情况出现。

感觉很恶心,除了DDOS、CC、上传攻击以外,各种新形式的攻击都用在我网站上了,就因为我免费发了一些套图坏了他们生意。以后程序把防御用户作为第一要务。

最新回复 (6)
  • v2016 2018-4-11
    2
    我比较想知道的是  那套图还在你的网站上?
  • C 2018-4-11
    3
    v2016 我比较想知道的是 那套图还在你的网站上?
    在,流量主要来源,每天能带来大概800IP
  • v2016 2018-4-12
    4
    C 在,流量主要来源,每天能带来大概800IP
    上个广告不是赚钱
  • C 2018-4-12
    5
    v2016 上个广告不是赚钱
    懒得搞了,程序都没写好
  • v2016 2018-4-12
    6
    C 在,流量主要来源,每天能带来大概800IP
    流量来源是百度还是谷歌?
  • C 2018-4-12
    7
    v2016 流量来源是百度还是谷歌?
    肯定谷歌,百度都没收录……