jov*_*van 4 php security cookies session
我目前使用会话将用户登录到我的网站.现在,我想在混合中添加cookie,以便人们可以在几天后访问该网站,而无需再次登录.
我不想将密码存储在cookie中或加密任何东西 - 所以我的解决方案是将用户名存储在cookie中,并使用一种登录哈希(特定于每个用户的每次登录)创建另一个cookie.然后,在每个页面的顶部,检查cookie和登录会话.如果cookie存在但会话不存在,请找到用户名并将用户登录.
因此,这会在他们成功登录后发生($row['username']是他们输入的用户名):
$_SESSION['username']=$row[username];
$_SESSION['user_id']=$row['id'];
$loginhash = substr(str_shuffle("0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"), 0, 32);
$number_of_days = 14;
$date_of_expiry = time() + 60 * 60 * 24 * $number_of_days ;
setcookie( "userlogin", $row['username'], $date_of_expiry, "/" ) ;
setcookie( "loginhash", $loginhash, $date_of_expiry, "/" ) ;
$today=date("Y-m-d");
mysql_query("update members set last_login='$today',loginhash='$loginhash' where id='$row[id]' ") or die(mysql_error());
然后在每个页面的顶部,执行以下操作:
if($_COOKIE['userlogin'] && !isset($_SESSION[user_id])){
$username=mysql_real_escape_string($_COOKIE['userlogin']);
$loginhash=mysql_real_escape_string($_COOKIE['loginhash']);
$result=mysql_query("select * from members where (username='$username' || email='$username') && loginhash='$loginhash' ") or die (mysql_error());
$row=mysql_fetch_array($result);
$_SESSION['username']=$row[username];
$_SESSION['user_id']=$row['id'];
}
然后,当然,当用户手动注销时取消设置cookie.
我的问题是,这是否安全(除了其他人使用用户计算机的危险)?为每次登录生成随机哈希,因此有人不能仅使用某人的用户名创建cookie并以该人身份登录.
登录脚本使用HTTPS,因此该方面没有危险.
我可以看到你这样做的两个主要问题:
我们不在数据库中存储密码的原因是,如果数据库受到攻击,攻击者无法访问我们服务器上的帐户......但这正是您正在使用的loginhash.如果我破坏了您的数据库,我可以通过使用username和loginhash来自数据库的cookie创建一个cookie,以便在接下来的14天内以任何具有活动cookie的用户身份登录.
您可以通过生成随机密钥,将其存储在cookie中,然后通过散列函数运行它bcrypt并将摘要存储在数据库中来纠正此问题.这样,即使完全转储数据库,用户也不能像其他任何用户一样简单地登录您的站点.当然,您必须更改比较运算符,以便比较摘要而不是原始数据.
该str_shuffle功能不具有加密安全性.它在rand内部使用,这是相当可预测的,并使这个哈希比你的密码更容易攻击矢量.相反,在你的操作系统上使用随机熵(URANDOM指的是Unblocking Random,它不像RANDOM那样安全,但是你的系统会进行大量的处理 - 从而产生熵 - 这就足够了),如下所示:
改编自此密码重置类:
function generateRandomBase64String($length = 32)
{
if (!defined('MCRYPT_DEV_URANDOM')) die('The MCRYPT_DEV_URANDOM source is required (PHP 5.3).');
$binaryLength = (int)($length * 3 / 4 + 1);
$randomBinaryString = mcrypt_create_iv($binaryLength, MCRYPT_DEV_URANDOM);
$randomBase64String = base64_encode($randomBinaryString);
return substr($randomBase64String, 0, $length);
}
本文介绍的Drupal如何处理登录令牌,存储username,loginhash并且series_id每个用户具有凭证,而不是使用一个Cookie登录时间在一起.该loginhash和series_id可以使用上述随机函数来生成.
用户登录时,将检查数据库.如果username,loginhash并且series_id都存在,用户登录和一个新的cookie被以相同的生成username和series_id,但一个新的loginhash.这意味着每个cookie只能使用一次.
此外,以这种方式登录的用户无法执行任何妥协功能,例如请求密码重置,取款和查看敏感信息而无需"正确"密码登录.这是为了保护已经拥有cookie的用户.
如果检测到登录series_id但存在但loginhash不匹配,我们会擦除该用户的所有有效cookie,并留下一条措辞强烈的消息,表明使用了无效的cookie来访问其帐户.
mysql_*功能这似乎是新代码,尚未部署.如果现在回头还为时不晚,可以考虑将数据库驱动程序切换为mysqli(文档),它保持了非常相似的程序样式,mysql但允许您使用绑定参数和其他现代函数来提高数据安全性.
| 归档时间: |
|
| 查看次数: |
2010 次 |
| 最近记录: |