代码之家  ›  专栏  ›  技术社区  ›  Caio

会话劫持和PHP

session-hijacking session security php
  •  11
  • Caio  · 技术社区  · 14 年前

    让我们考虑一下服务器对用户的信任。

    会话注视:为了避免我使用的注视 session_regenerate_id() 仅在身份验证中(登录.php)

    会话侧顶:整个站点的SSL加密。

    我安全吗?

    3 回复  |  直到 6 年前
        1
  •  28
  •   rook    14 年前

    读取OWASP A3-Broken Authentication and Session Management . 同时阅读有关OWASP的信息 A5-CSRF ,这有时被称为“会话骑马”。

    您应该在php头文件中使用以下代码: 

    ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();

    此代码防止 session fixation . 它还有助于防止xss访问 document.cookie Session Hijacking 可能发生。强制只使用HTTPS的cookies是解决OWASP的一个好方法 A9-Insufficient Transport Layer Protection . 这种使用HTTPS的方式有时被称为“安全cookies”,这是一个可怕的名字。阿尔索 STS 是一个非常酷的安全特性,但并不是所有浏览器都支持它。

        2
  •  2
  •   ircmaxell    14 年前

        3
  •  0
  •   Jeg Bagus    14 年前

    我发现的最佳实践是将会话数据保存到数据库或文本文件中。

    例如,如何将会话保存在数据库中,您可以看到codeigntier会话库的实现。在我看来,这种方式相当节省,以防止有人去hijact会议。

    推荐文章
    Jacco  ·  未能格式化我的日期以在php中正确工作
    1 年前
    darshita_baldha  ·  如何在Laravel组件中传递数组变量?
    1 年前
    nitroflox  ·  在php中删除带有安全和httponly选项的cookie值得吗?
    1 年前
    Community wiki  ·  在OOP中,依赖项是否应该包含对其父项的引用?
    1 年前
    Arno van Oordt  ·  存储在MonogoDB中时将类实例转换为字符串
    1 年前
    Jaime Montoya  ·  访问器魔术方法在PHP 8中不起作用[重复]
    1 年前
    jay ram  ·  如何在URL核心php中从API获取JSON?
    1 年前
    Endricho Folabessy  ·  我在Laravel 10中的一对一关系有什么错误
    1 年前
    pernifloss  ·  如何在使用电子邮件时保持Outlook邮件未读trhough pop3
    1 年前
    Ishwarya A  ·  php电子表格在浏览器中显示多张excel
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号