强烈建议自带的session不要使用pickle，而是使用json_encode

mqingyn / torngas

BSD 3-Clause "New" or "Revised" License

437 stars 137 forks source link

Closed mywaiting closed 8 years ago

mywaiting commented 8 years ago

因为一旦session密钥泄露，pickle的使用可能带来远程代码执行问题！这可是一个隐蔽的后门啊！

mqingyn commented 8 years ago

自带session的密钥是可以定期更换的，如果有特殊的需求，也可以自定义实现个性化的session store

mywaiting commented 8 years ago

好吧，这样的回复我表示略不负责任。不过你喜欢吧。