php通过session防url攻击方法

1、更改Session名称。PHP中Session的默认名称是PHPSESSID，此变量会保存在Cookie中，如果攻击者不分析站点，就不能猜到Session名称，阻挡部分攻击。 关闭透明化Session ID。

2、解决办法：用户无论访问A或B，生成的钥匙我都存储在C（同一个数据库，或缓存系统）中，用户再次访问A或B时，A和B都去问下C：这个用户的钥匙对么？对的话，用户就可以使用自己存在A或者B那里的箱子了。