我了解到,如果我与另一台主机共享一台服务器(就像我有一个虚拟主机那样,我也这样做),那么所有主机共享相同的$_SESSION在所有主机上都相同.

这是否意味着其他主机可以访问我存储在$_SESSION中的某些变量？

解决方法:

检查以下值：

echo ini_get('session.save_handler');
echo ini_get('session.save_path');

如果save_handler是文件,并且save_path是/ var / lib / PHP5之类的公用目录,那么您很可能与服务器上的其他用户共享会话存储.会话哈希ID的性质仍然可以保护您,但是如果您有敏感信息,则可能需要进行更改.您可以将save_handler更改为sqlite之类的内容并提供自己的本地数据库文件,也可以将save_path更改为您拥有的且具有最小权限的目录.您可以在.htaccess文件中更改save_path：

PHP_value session.save_path = '/path/to/my/session/directory'

或在您的PHP源代码中：

ini_set('session.save_path', '/path/to/my/session/directory');

编辑：但是,实际上,如果您具有足够敏感的信息以保证进行此更改,那么您应该使用VPS而不是共享服务器.