PHP会话的安全性
|
我知道这已被问过数十亿次,但我对于编码的安全性我是超级偏执/强迫症.我正在做一个小项目.会话数据仅包含:
这是我的代码.它是否足够安全,可以在小型CMS上使用? session_start();
ini_set('session.cookie_httponly','On');
ini_set('session.cookie_secure','On');
ini_set('session.use_cookies','On');
ini_set('session.use_only_cookies','On');
$rand = rand(1,10);
if ($rand != 1 || $rand != 3 || $rand != 5)
session_regenerate_id();
$user_ip = md5($_SERVER['REMOTE_ADDR']);
$user_agent = md5($_SERVER['HTTP_USER_AGENT']);
if (isset($_SESSION['user_ip'],$_SESSION['user_agent'])) {
$session_user_ip = $_SESSION['user_ip'];
$session_user_agent = $_SESSION['user_agent'];
if ($session_user_ip != $user_ip || $session_user_agent != $user_agent) {
unset($_SESSION);
session_destroy();
die('Error');
}
} else {
$_SESSION['user_ip'] = $user_ip;
$_SESSION['user_agent'] = $user_agent;
}
然后调用会话: $_SESSION['user_id'] = 1; $_SESSION['user_name'] = 'MyUsername'; // etc. 额外信息 感谢您的帮助.
会话安全风险来自三种不同的可能性:
>预测 预测意味着不是创建会话的用户的某个人猜到了他们的会话ID.发生这种情况的可能性几乎为0,尽管随着越来越多的用户同时使用该网站,它们确实会增长. 使用您的代码,您可以将风险降低,因为只有在攻击者共享用户代理和预测会话的IP时才会起作用.但在这种情况下,差异是微不足道的. 修复意味着攻击者可以创建会话,然后强制其他用户使用他们的会话.在这种情况下,它将取决于:如果攻击者知道您正在执行此操作并伪造用户代理和客户端的IP,则他们可以修复会话.或者如果他们共享ip和用户代理. 最后我们有会话劫持,可能是三者中最常见的方法.在这种情况下,攻击者会以某种方式访问??有效登录用户的会话ID,然后使用它登录到他们的帐户.与前面的方法一样,只有当他们知道您正在检查ip和用户代理并伪造与用户相同的方法时,这才对他们有效.您使用的技术并不是唯一的,一些攻击者可能会伪造它们以防万一. 话虽如此,它是否安全?是的,不是 如果您沉迷于安全性,答案总是一样的:使用SSL 除非你的代码是开源的,否则你所做的几乎所有改变php会话的行为都是足够安全的. 唯一的例外是真正受欢迎的网站,它们会引起黑客的注意. 有关此主题的一些非常好的文档: > http://phpsec.org/projects/guide/4.html (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |