user_id 1
user_name MyUsername
logged_in true
csrf_token 87cc51ee94178df79cccce2aebc45d53
这是我的代码.它是否足够安全,可以在小型CMS上使用?
session_start();
ini_set('session.cookie_httponly','On');
ini_set('session.cookie_secure','On');
ini_set('session.use_cookies','On');
ini_set('session.use_only_cookies','On');
$rand = rand(1,10);
if ($rand != 1 || $rand != 3 || $rand != 5)
session_regenerate_id();
$user_ip = md5($_SERVER['REMOTE_ADDR']);
$user_agent = md5($_SERVER['HTTP_USER_AGENT']);
if (isset($_SESSION['user_ip'],$_SESSION['user_agent'])) {
$session_user_ip = $_SESSION['user_ip'];
$session_user_agent = $_SESSION['user_agent'];
if ($session_user_ip != $user_ip || $session_user_agent != $user_agent) {
unset($_SESSION);
session_destroy();
die('Error');
}
} else {
$_SESSION['user_ip'] = $user_ip;
$_SESSION['user_agent'] = $user_agent;
}
然后调用会话:
$_SESSION['user_id'] = 1; $_SESSION['user_name'] = 'MyUsername'; // etc.
额外信息
我将使用会话数据来检查用户是否有权执行某些操作.示例:if(user_has_perm($_SESSION [‘user_id’]))
感谢您的帮助.
>预测
>捕获
>固定
预测意味着不是创建会话的用户的某个人猜到了他们的会话ID.发生这种情况的可能性几乎为0,尽管随着越来越多的用户同时使用该网站,它们确实会增长.
使用您的代码,您可以将风险降低,因为只有在攻击者共享用户代理和预测会话的IP时才会起作用.但在这种情况下,差异是微不足道的.
修复意味着攻击者可以创建会话,然后强制其他用户使用他们的会话.在这种情况下,它将取决于:如果攻击者知道您正在执行此操作并伪造用户代理和客户端的IP,则他们可以修复会话.或者如果他们共享ip和用户代理.
最后我们有会话劫持,可能是三者中最常见的方法.在这种情况下,攻击者会以某种方式访问有效登录用户的会话ID,然后使用它登录到他们的帐户.与前面的方法一样,只有当他们知道您正在检查ip和用户代理并伪造与用户相同的方法时,这才对他们有效.您使用的技术并不是唯一的,一些攻击者可能会伪造它们以防万一.
话虽如此,它是否安全?是的,不是
如果您沉迷于安全性,答案总是一样的:使用SSL
除非你的代码是开源的,否则你所做的几乎所有改变PHP会话的行为都是足够安全的.
唯一的例外是真正受欢迎的网站,它们会引起黑客的注意.
有关此主题的一些非常好的文档:
> http://phpsec.org/projects/guide/4.html
> PHP Session Security
> http://www.squarefree.com/securitytips/web-developers.html#CSRF
