关于PHP的session登录的安全问题

最新推荐文章于 2023-03-14 07:15:00 发布
最新推荐文章于 2023-03-14 07:15:00 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: PHP 文章标签: session 安全 浏览器 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangadam1120121702/article/details/46368915
版权 

<span style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255);"><span style="font-size:18px;">一般开发不太需要安全性的网站系统也要考虑session做登录验证的安全问题,session_id()很在传输的过程中被恶意用户挟持,伪造一个新的ID侵入系统,这里可以考虑使用session的加密验证。</span></span>

第一种方法:一个标准的HTTP请求中除了host等头部必须信息,还可能包含一些可选的头部比如

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cache-Control:max-age=0
Connection:keep-alive
Cookie:CNZZDATA155540=cnzz_eid%3D1361932985-1429108221-%26ntime%3D1429194688; _ga=GA1.1.530260614.1432539843; PHPSESSID=774v47f1jfgjetofpfns9bcgd1
Host:192.168.199.121
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36

user_agent这个使我们需要的信息,如果一个用户的浏览器发送这些数据到服务器,那么接下来同一个用户还是发送同样的数据到服务器中,如果两次发送的头部信息不一样,则可能判定这次请求来自攻击者,可以在系统中加入如下代码

<?phpsession_start();

if(md5($_SERVER['HTTP_USER_AGENT']) != $_SESSION['HTTP_USER_AGENT]){  

echo '请求有问题';exit;

}

//在初始化的时候用md5加密保存user_agent信息

$_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);


第二种方法,利用头信息生成一个token,在用户以后的请求中加入这个token

<?php

session_start();

$token = 'salt' . $_SERVER['HTTP_USER_AGENT'];
$_SESSION['token'] = md5($token);
阿忠adam
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用PHP会话(Session)实现用户登陆功能
01-20
实际上在服务器端的 Session 文件,PHP 自动修改 Session 文件的权限,只保留了系统读和写权限,而且不能通过 ftp 修改,所以安全得多。对于 Cookie 来说,假设我们要验证用户是否登陆,就必须在 Cookie 中保存...
PHP中的session安全吗?底层原理是什么?
长风破浪会有时的博客
04-09 221
PHPsession机制基于Cookie实现,通过在客户端浏览器中存储一个session ID(会话ID),来跟踪每个用户的会话。具体来说,当用户第一次访问PHP应用程序时,服务器会为其分配一个唯一的session ID,并将该ID存储在客户端浏览器的Cookie中。在随机化机制中,会话ID是随机生成的字符串,使得攻击者无法猜测下一个会话ID。在默认情况下,PHP使用文件系统作为后端存储。PHP中的session机制可以被认为是相对安全的,但是需要注意一些潜在的安全问题,比如会话劫持、会话固定攻击等。
PHP安全编程之cookie暴露导致session被劫持
爱代码也爱生活
08-10 1926
使用Cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会话标识保存在cookie中,cookie的暴露就是一个严重的风险,因为它能导致会话劫持。 PHP为你处理相关会话管理的复杂过程 最常见的cookie暴露原因是浏览器漏洞和跨站脚本攻击(见专题前几部分)。虽然现在并没有已知的该类浏览器漏洞,但是以往出现过几例,其中最有名的一例同时发生在IE浏览器的4.0,
php中的session安全性,PHP操作Session的原理及提升安全性时的一个问题
weixin_36018119的博客
03-22 183
Session和Cookie基本介绍相同点:两者都是保存用户的临时信息,以方便用户和网站之间的交互不同点:Session保存在服务器端,只有服务器端才可查看和修改。服务器端通过客户端在cookie中携带的session_id来获得保存在服务器端的用户数据。Cookie保存在客户端,服务端和客户端都可以对其进行修改。Session的工作原理首先测试如下一段代码session_start();//开启...
php 文件session弊端,关于PHPSession文件过多的问题
weixin_36310141的博客
03-11 226
PHP的默认机制:每一次php请求,会有1/100的概率(默认值)触发“session回收”。如果“session回收”发生,那就会检查/tmp/sess_*的文件,如果最后的修改时间到现在超过了1440秒(gc_maxlifetime的值),就将其删除,意味着这些session过期失效一、session文件是什么文件一般为 /tmp/sess_4b1e384ad74619bd212e236e52...
php session是否存在被破译的可能?
zxianyong的专栏
12-22 2700
php session是否存在被破译的可能?
定时+分条件运行+登陆+主页+_SESSION安全设置.rar
01-19
PHP分条件运行定时任务+登陆、主页、_SESSION设置 PHP分条件运行定时任务+登陆、主页、_SESSION设置 PHP分条件运行定时任务+登陆、主页、_SESSION设置
简单的方法让你的后台登录更加安全(php中加session验证)
10-27
通过特定文件为后台入口注册session,否则失败退出。即直接使用原后台地址将无法登录后台。这样一来,入口文件名的多样性、可变更性将为你的后台登录提供更加安全的环境
PHPsession使用方法详解第1/2页
12-17
实际上在服务器端的 Session 文件,PHP 自动修改 session 文件的权限,只保留了系统读和写权限,而且不能通过 ftp 修改,所以安全得多。PHPChina 开源社区门户 对于 Cookie 来说,假设我们要验证用户是否登陆,就...
php生成简单的文字+数字组合的验证码案例
10-16
项目中经常会遇到一些登陆验证,支付验证等等一系列安全验证的策略。实现方法多种多样,php生成简单的文字+数字组合的验证码案例
session安全问题
m0_55306747的博客
05-16 2536
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器中的session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
php 文件session弊端,session是什么?为什么不推荐使用file保存session
weixin_39912984的博客
03-11 140
什么是 Session在 web应用开发中,Session 被称为会话。主要被用于保存某个访问者的数据。由于 HTTP无状态的特点,服务端是不会记住客户端的,对服务端来说,每一个请求都是全新的。既然如此,那么服务端怎么知道是哪个访问者在请求它呢?又如何将不同的数据对应上正确的访问者?答案是,给访问者一个唯一获取 Session中数据的身份标识。打个比方:当我们去超市购物时,被保安告之我们是不能带物...
php 登录验证 安全,简单的方法让你的后台登录更加安全(php中加session验证)
weixin_31486289的博客
04-09 449
本文将以Joomla!后台链接为例,讲解如何“修改”我们的后台链接,使其更加安全。原理:通过特定文件为后台入口注册session,否则失败退出。即直接使用原后台地址将无法登录后台。这样一来,入口文件名的多样性、可变更性将为你的后台登录提供更加安全的环境。一、入口文件:myadmin.php(文件名可随时更改)作用:注册session。源码如下:代码如下:...
PHP十个常见安全问题及实例讲解
xiaoyi9812的博客
03-14 580
PHP十个常见安全问题及实例讲解
PHP安全编程:session劫持的防御session 数据暴露
zwcwu31的专栏
03-10 1675
session 数据暴露 会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境中的,而不是在数据库或文件系统中。因此,会话数据自然不会公开暴露。 使用SSL是一种特别有效的手段,它可以使数据在服务器和客户端之间传送时暴露的可能性降到最低。这对于传送敏感数据的应用来说非常重要。SSL在HTTP
session的根本原理及安全
热门推荐
白一梓的专栏
05-25 2万+
yunnysunny 退出账号 当前文档 删除文档导出 Markdown导出 PDF 系统 设置下载离线客户端使用说明快捷帮助切换至免费版 Unsaved session安全性对于vireio若干问题的解答直播登录验证文档关于淘宝同学接入的若干问题flashvar参数设置flashvar参数设置
PHP系列之Session安全
Alvin
05-27 316
CentOS安装 以CentOS 6.9 为例 未完待续
PHP漏洞全解(PHP安全性/命令注入/脚本植入/xss跨站/SQL注入/伪跨站请求/Session劫持/HTTP响应拆分/文件上传漏洞)...
weixin_34323858的博客
12-05 822
目录PHP漏洞全解(一)-PHP网站的安全问题PHP漏洞全解(二)-命令注入攻击PHP漏洞全解(三)-客户端脚本植入PHP漏洞全解(四)-xss跨站脚本攻击PHP漏洞全解(五)-SQL注入攻击PHP漏洞全解(六)-跨网站请求伪造PHP漏洞全解(七)-Session劫持PHP漏洞全解(八)-HTTP响应拆分PHP漏洞全解(九)-文件上传漏洞 PHP漏洞全解(一)-PHP网站的安全问题 针对P...
网络安全-php安全知识点
关注网络安全、云原生安全
10-09 1万+
目录 语法与注释 变量 输出 超级全局常量 函数 常用 数据库相关 mysqli pdo 写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。 php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审
php登陆怎么写
最新发布
05-30
以下是一个简单的 PHP 登录示例代码: ```php <?php session_start(); // 处理用户提交的表单 if ($_SERVER['REQUEST_METHOD'] == '...同时,为了安全起见,建议对用户输入进行过滤和验证,以防止 SQL 注入等攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值