Mik*_*ike 7 php security cookies ssl session
我正在努力确保我的会议安全.在进行一些研究时,我估计基于Agent和IP的PHP的PHPSESSID +随机哈希足以防止劫持.你能做什么呢,真的.
我正在使用HTTPS进行登录.据我所知,来自PHP的会话数据永远不会发送给用户,而是存储在服务器端.客户端仅获取会话的ID.会话数据保存实际的webapp用户会话,而后者又用于检查登录是否有效.一切都很好,花花公子.
但是,有一个我在任何地方都找不到的细节.我想知道如果我使用HTTPS,包含PHP会话ID的cookie是否会自动标记为安全.我做了一些谷歌搜索,但似乎从来没有得到正确的搜索字符串,因为我只找到手动发送cookie的方法.我想知道,因为如果该cookie被发送为明文,它将通过中间人来破坏一些安全性.
这是@ircmaxell的补充
我尝试了你的方法,但当我从HTTPS切换回HTTP时,我仍然得到了cookie.它的工作方式如下.只要服务器知道用户会话可用,它就会设置安全标志.这意味着整个站点在您登录后立即在SSL上运行,并且在您不使用SSL时拒绝放弃/使用cookie.或者至少,这就是想法.
if ($SysKey['user']['session_id'] != '') {
session_set_cookie_params(60*60*24*7, '/', $SysKey['server']['site'], true, true);
}
我假设我需要重新生成id,因为浏览器在登录前已经有了cookie,但由于我只能在几个小时内试用它,我会在尝试之前尝试
我刚刚发现你必须在开始会话之前设置这些设置.那是我的问题.我现在使用2个不同的cookie.一个用于通过http发送的常规访客,另一个用于仅通过ssl发送的登录用户.
roo*_*ook 10
甚至不要考虑滚动自己的会话处理程序!
PHP的会话已多次被破坏,因此它现在比以往任何时候都更加安全.当发现新问题时,它将很快免费修复.但是,您可能希望添加以下选项:
session.cookie_secure=True
session.cookie_httponly=True
session.use_cookies=True
session.use_only_cookies=True
我认为你正在寻找的功能是session_set_cookie_params(...).它允许您设置安全 cookie标志,使其仅为https.
你可以查看: session_get_cookie_params()
| 归档时间: |
|
| 查看次数: |
6889 次 |
| 最近记录: |