脚本宝典收集整理的这篇文章主要介绍了PHP会话的安全性,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
session_start(); ini_set('session.cookie_httponly','On'); ini_set('session.cookie_secure','On'); ini_set('session.use_cookies','On'); ini_set('session.use_only_cookies','On'); $rand = rand(1,10); if ($rand != 1 || $rand != 3 || $rand != 5) session_regenerate_id(); $user_ip = md5($_SERVER['REMOTE_ADDR']); $user_agent = md5($_SERVER['HTTP_USER_AGENT']); if (isset($_SESSION['user_ip'],$_SESSION['user_agent'])) { $session_user_ip = $_SESSION['user_ip']; $session_user_agent = $_SESSION['user_agent']; if ($session_user_ip != $user_ip || $session_user_agent != $user_agent) { unset($_SESSION); session_destroy(); die('Error'); } } else { $_SESSION['user_ip'] = $user_ip; $_SESSION['user_agent'] = $user_agent; }
然后调用会话:
$_SESSION['user_id'] = 1; $_SESSION['user_name'] = 'MyUsername'; // etc.
额外信息
我将使用会话数据来检查用户是否有权执行某些操作.示例:if(user_has_PErm($_SESSION [‘user_id’]))
感谢您的帮助.
>预测
>捕获
>固定
预测意味着不是创建会话的用户的某个人猜到了他们的会话ID.发生这种情况的可能性几乎为0,尽管随着越来越多的用户同时使用该网站,它们确实会增长.
使用您的代码,您可以将风险降低,因为只有在攻击者共享用户代理和预测会话的IP时才会起作用.但在这种情况下,差异是微不足道的.
修复意味着攻击者可以创建会话,然后强制其他用户使用他们的会话.在这种情况下,它将取决于:如果攻击者知道您正在执行此操作并伪造用户代理和客户端的IP,则他们可以修复会话.或者如果他们共享ip和用户代理.
最后我们有会话劫持,可能是三者中最常见的方法.在这种情况下,攻击者会以某种方式访问有效登录用户的会话ID,然后使用它登录到他们的帐户.与前面的方法一样,只有当他们知道您正在检查ip和用户代理并伪造与用户相同的方法时,这才对他们有效.您使用的技术并不是唯一的,一些攻击者可能会伪造它们以防万一.
话虽如此,它是否安全?是的,不是
如果您沉迷于安全性,答案总是一样的:使用SSL
除非你的代码是开源的,否则你所做的几乎所有改变PHP会话的行为都是足够安全的.
唯一的例外是真正受欢迎的网站,它们会引起黑客的注意.
有关此主题的一些非常好的文档:
> http://phpsec.org/projects/guide/4.html
> PHP Session Security
> http://www.squarefree.com/securitytips/web-developers.html#CSRF
以上是脚本宝典为你收集整理的PHP会话的安全性全部内容,希望文章能够帮你解决PHP会话的安全性所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。