PHP会话的安全性

前端之家收集整理的这篇文章主要介绍了PHP会话的安全性前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我知道这已被问过数十亿次,但我对于编码的安全性我是超级偏执/强迫症.我正在做一个小项目.会话数据仅包含:

user_id 1
user_name MyUsername
logged_in true
csrf_token 87cc51ee94178df79cccce2aebc45d53

这是我的代码.它是否足够安全,可以在小型CMS上使用?

session_start();

ini_set('session.cookie_httponly','On');
ini_set('session.cookie_secure','On');
ini_set('session.use_cookies','On');
ini_set('session.use_only_cookies','On');

$rand = rand(1,10);

if ($rand != 1 || $rand != 3 || $rand != 5)
    session_regenerate_id();

$user_ip = md5($_SERVER['REMOTE_ADDR']);
$user_agent = md5($_SERVER['HTTP_USER_AGENT']);

if (isset($_SESSION['user_ip'],$_SESSION['user_agent'])) {
    $session_user_ip = $_SESSION['user_ip'];
    $session_user_agent = $_SESSION['user_agent'];

    if ($session_user_ip != $user_ip || $session_user_agent != $user_agent) {
        unset($_SESSION);
        session_destroy();

        die('Error');
    }
} else {
    $_SESSION['user_ip'] = $user_ip;
    $_SESSION['user_agent'] = $user_agent;
}

然后调用会话:

$_SESSION['user_id'] = 1;
$_SESSION['user_name'] = 'MyUsername'; // etc.

额外信息
我将使用会话数据来检查用户是否有权执行某些操作.示例:if(user_has_perm($_SESSION [‘user_id’]))

感谢您的帮助.

会话安全风险来自三种不同的可能性:

>预测
>捕获
>固定

预测意味着不是创建会话的用户的某个人猜到了他们的会话ID.发生这种情况的可能性几乎为0,尽管随着越来越多的用户同时使用该网站,它们确实会增长.

使用您的代码,您可以将风险降低,因为只有在攻击者共享用户代理和预测会话的IP时才会起作用.但在这种情况下,差异是微不足道的.

修复意味着攻击者可以创建会话,然后强制其他用户使用他们的会话.在这种情况下,它将取决于:如果攻击者知道您正在执行此操作并伪造用户代理和客户端的IP,则他们可以修复会话.或者如果他们共享ip和用户代理.

最后我们有会话劫持,可能是三者中最常见的方法.在这种情况下,攻击者会以某种方式访问​​有效登录用户的会话ID,然后使用它登录到他们的帐户.与前面的方法一样,只有当他们知道您正在检查ip和用户代理并伪造与用户相同的方法时,这才对他们有效.您使用的技术并不是唯一的,一些攻击者可能会伪造它们以防万一.

话虽如此,它是否安全?是的,不是

如果您沉迷于安全性,答案总是一样的:使用SSL

除非你的代码是开源的,否则你所做的几乎所有改变PHP会话的行为都是足够安全的.

唯一的例外是真正受欢迎的网站,它们会引起黑客的注意.

有关此主题的一些非常好的文档:

> http://phpsec.org/projects/guide/4.html
> PHP Session Security
> http://www.squarefree.com/securitytips/web-developers.html#CSRF

原文链接:https://www.f2er.com/php/138072.html

猜你在找的PHP相关文章