PHP Session 安全 - - ITeye博客

`

lnnujxxy

浏览: 27397 次
性别:
来自: 北京

最近访客更多访客>>

cui613

h450182775

Tzhennan

pestd

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

PHP Session 安全

博客分类：

PHP

阅读更多

在stackoverflow上看到关于 php Session 安全的讨论，特记录之。（http://stackoverflow.com/questions/328/php-session-security）

1.使用SSL

2.重设session_id

引用

PHP中可以：session_regenerate_id(true);

3.设置session有效时间

可以参考鸟哥的文章：http://www.laruence.com/2012/01/10/2469.html

4.不是全局变量

5.存储信息在服务器上，不发送重要信息到cookie上

6.检查用户user_agent和IP

引用

PHP 使用：if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']

|| $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR']) {

//Something fishy is going on here?

}

7.设置 httpOnly 避免 Session 攻击

参考：http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html

8.Lock down access to the sessions on the file system or use custom session handling

引用

可是自定义session session_set_save_handler()
将session存储在DB, memcached等

9.For sensitive operations consider requiring logged in users to provide their authenication details again

分享到：

php写一个md5/sha1+salt密码类 | CURL日常使用

2012-01-14 22:41
浏览 1398
评论(0)
分类:互联网
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

php session安全问题分析: php if(!isset($_SESSION[‘user_agent’])){ $_SESSION[‘user_agent’] =$_SERVER[‘REMOTE_ADDR’].$_SERVER[‘HTTP_USER_AGENT’]; } /* 如果用户session ID是伪造 */ elseif ($_SESSION[‘user_agent’] != $_...

php5的session详解: php5的session详解.pdf php5 的session详解其一：什么是session？ php5 的session 详解之二：有两种方法传递一个会话ID： php5 的session 详解之三：session安全 php5 的session 详解之四：……

php session操作类: 这是一个比较完整，且比较安全的session操作类，集成了，基本的操作方法

PHP中的session安全吗？: PHP中的session安全吗？PHP只是为我们提供了一个session的实现，后续的安全工作需要程序员自己灵活去掌握，所以说PHP编程真的很灵活，需要了解PHP中session安全的朋友可以参考一下

PHP中如何使用session实现保存用户登录信息: 主要给大家介绍在php中是如何使用session实现保存用户登录信息的，涉及到php session 用户登录等一些知识点，使用session保存用户登录信息要比cookie安全很多。感兴趣的朋友一起学习吧

php session 会话固定漏洞: 本书详细阐述了php中的session会话固定漏洞可能引发的安全问题，叙述了php代码审计的一些tips。

基于MD5和Session的PHP安全防范.pdf: 基于MD5和Session的PHP安全防范.pdf

PHP session会话的安全性分析: 这就要求在编写代码的时候必须采取安全措施来减少攻击成功的可能性。主要的安全措施有以下两个方面。 1、防止攻击者获取用户的会话ID。获取会话ID的方式很多，攻击者可以通过查看明文通信来获取，所以把会话ID放在...

定时+分条件运行+登陆+主页+_SESSION安全设置.rar: PHP分条件运行定时任务+登陆、主页、_SESSION设置 PHP分条件运行定时任务+登陆、主页、_SESSION设置 PHP分条件运行定时任务+登陆、主页、_SESSION设置

php session实现多级目录存放实现代码: 当一个目录下有很多文件时，服务器的处理性能会变低，php默认的session仅仅存放在/tmp目录下，未进行分级，当有一定的访问量时，就存在性能问题了。首先，修改 php.ini的 session.save_path 选项修改如下： session...

PHP Session机制简介及用法: 该session文件所存放的文件夹可以在配置文件php,ini中修改。 cookie 每次请求页面的时候进行验证，如果用户信息存储在数据库中，每次都要执行一次数据库查询，给数据库造成多余的负担。cookie可以被修改的，所以...

php中session与cookie的比较: 本文较为详细的比较了php中session与cookie区别。分享给大家供大家参考。具体分析如下： 1、存放的位置 cookie保存在客户端，session保存在服务器端的文件系统/数据库/memcache等。 2、安全性 session因为保存有...

关于PHP5 Session生命周期介绍: 它是通过 Session ID 来判断的，什么是 Session ID，就是那个 Session 文件的文件名，Session ID 是随机生成的，因此能保证唯一性和随机性，确保Session 的安全。一般如果没有设置 Session 的生存周期，则 Session ...

PHP中的Session对象如何使用: 在PHP开发中对比起Cookie，session 是存储在服务器端的会话，相对安全，并且不像 Cookie 那样有存储长度限制。下面则是对Session的介绍。 php中的Session与Cookie 在PHP开发中对比起Cookie，session 是存储在服务器...

PHP session 会话处理函数_.docx: PHP session 会话处理函数_.docx

php里session的用法.doc: php里session的用法.doc

多php服务器实现多session并发运行: 和Cookie类似，设计Session的目的也是为了在一个访问期间在不同的页面间传输数据以解决http协议无状态的问题，但Session更加简单、更加安全。Session 中文没有一个统一的译法，我习惯上译为会话。关于session的意义...

Global site tag (gtag.js) - Google Analytics