為了理解PHP Session反序列化漏洞，首先需要從開(kāi)發(fā)者角度認(rèn)識(shí)Session的必要性由于。

if$_SESSION#39user#39 if$_SESSION#39user#39#39#39login echo #39已登陸！#39 else echo #39未登錄！#39 else echo #39未登錄！#39 $_SESSION#39user#39#39username#39=#39用戶名#39$_SESSION#39user#39#39password#39=#39用戶名#39$_SESSION#39user#39#39login#39。

這個(gè)錯(cuò)誤好像是session開(kāi)啟之前有輸出值 你使用headers_sent函數(shù)測(cè)試一下是否有輸出值，這個(gè)函數(shù)的參數(shù)是file和line，在你報(bào)錯(cuò)的文件代碼前寫(xiě)上 ifheaders_sent$file，$line diequotcan not execute in quot $file quot in quot $line試試 ，我也是遇到過(guò)這種情況的 和你分享一下。

PHP中的Session默認(rèn)存儲(chǔ)在服務(wù)器端的臨時(shí)文件夾中具體的存儲(chǔ)位置取決于服務(wù)器配置，一般情況下是在操作系統(tǒng)的臨時(shí)文件夾中可以通過(guò)phpini文件中的sessionsave_path參數(shù)來(lái)指定Session的存儲(chǔ)位置如果未顯式設(shè)置，則會(huì)使用默認(rèn)的臨時(shí)文件夾PHP中的Session是一種在Web應(yīng)用程序中維護(hù)狀態(tài)的機(jī)制它用。

php會(huì)話是如何產(chǎn)生的session是在服務(wù)器端保存用戶會(huì)話數(shù)據(jù)的方法，對(duì)應(yīng)的cookie是在客戶端保存用戶數(shù)據(jù)。

1要在PHP中使用會(huì)話，首先需要啟動(dòng)會(huì)話要啟動(dòng)會(huì)話，您需要使用PHP的內(nèi)置函數(shù)session_start，如圖所示2 然后，session_start函數(shù)必須位于lt HTML 標(biāo)記之前，如下所示3啟動(dòng)會(huì)話后，使用PHP的內(nèi)置數(shù)組對(duì)象源$_SESSION來(lái)存儲(chǔ)數(shù)百個(gè)，并創(chuàng)建一個(gè)新的indexphp文件4在indexphp文件中。