use*_*094 8 php security session suhosin
我知道这已被问过数十亿次,但我对于编码的安全性我是超级偏执/强迫症.我正在做一个小项目.会话数据仅包含:
user_id 1
user_name MyUsername
logged_in true
csrf_token 87cc51ee94178df79cccce2aebc45d53
这是我的代码.它是否足够安全,可以在小型CMS上使用?
session_start();
ini_set('session.cookie_httponly', 'On');
ini_set('session.cookie_secure', 'On');
ini_set('session.use_cookies', 'On');
ini_set('session.use_only_cookies', 'On');
$rand = rand(1, 10);
if ($rand != 1 || $rand != 3 || $rand != 5)
session_regenerate_id();
$user_ip = md5($_SERVER['REMOTE_ADDR']);
$user_agent = md5($_SERVER['HTTP_USER_AGENT']);
if (isset($_SESSION['user_ip'], $_SESSION['user_agent'])) {
$session_user_ip = $_SESSION['user_ip'];
$session_user_agent = $_SESSION['user_agent'];
if ($session_user_ip != $user_ip || $session_user_agent != $user_agent) {
unset($_SESSION);
session_destroy();
die('Error');
}
} else {
$_SESSION['user_ip'] = $user_ip;
$_SESSION['user_agent'] = $user_agent;
}
然后调用会话:
$_SESSION['user_id'] = 1;
$_SESSION['user_name'] = 'MyUsername'; // etc.
额外信息
我将使用会话数据来检查用户是否有权执行某些操作.例:if ( user_has_perm( $_SESSION['user_id'] ) )
感谢您的帮助.
aur*_*ano 12
会话安全风险来自三种不同的可能性:
预测意味着不是创建会话的用户的某个人猜到了他们的会话ID.发生这种情况的可能性几乎为0,尽管随着越来越多的用户同时使用该网站,它们确实会增长.
使用您的代码,您可以将风险降低,因为只有在攻击者共享用户代理和预测会话的IP时才会起作用.但在这种情况下,差异是微不足道的.
修复意味着攻击者可以创建会话,然后强制其他用户使用他们的会话.在这种情况下,它将取决于:如果攻击者知道您正在执行此操作并伪造用户代理和客户端的IP,则他们可以修复会话.或者如果他们共享ip和用户代理.
最后我们有会话劫持,可能是三者中最常见的方法.在这种情况下,攻击者会以某种方式获得对有效登录用户的会话ID的访问权限,然后使用它登录到他们的帐户.与前面的方法一样,只有当他们知道您正在检查ip和用户代理并伪造与用户相同的方法时,这才适用于他们.您使用的技术并不是唯一的,一些攻击者可能会伪造它们以防万一.
话虽如此,它是否安全?是的,不是
如果您沉迷于安全性,答案总是一样的:使用SSL
除非你的代码是开源的,否则你所做的几乎所有改变php会话的行为都是足够安全的.
唯一的例外是真正受欢迎的网站,它们会引起黑客的注意.
有关此主题的一些非常好的文档: