【CyberSecurityLearning 48】PHP Cookie 和 SESSION

最新推荐文章于 2022-04-29 10:24:21 发布
最新推荐文章于 2022-04-29 10:24:21 发布
阅读量165 收藏
点赞数
分类专栏: CyberSecurityLearning
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waffle666/article/details/115033272
版权

目录

会话控制

设置cookie的语句:setcookie();

setcookie的属性(性质):

 

服务器怎么接收cookie信息

session机制

session_start

$_SESSION  完成对session数据的读写

源码

使用Cookie实现对用户登录的验证

index.php

login.php

logout.php

Cookie存在的风险实验(cookie被窃取)

1.php(开启session机制)

2.php()

使用session机制实现用户登入验证

index.php

login.php

logout.php

session安全性实验

 

会话控制

浏览网页的时候,使用的是HTTP协议。
客户端发出请求
服务端给出响应

cookie就是“身份证”

存储在客户端的一段文本,文件|字符串(大多数情况下,字符串)

服务器发给客户端(cookie存储在客户端)

每次客户端浏览器 在发出请求的时候,自动都会携带Cookie信息

cookie信息也是键值对的形式

cookie信息是从服务器端向客户端写入的

设置cookie的语句:setcookie();

<?php
setcookie("name","GGG");  //setcookie就是PHP中设置cookie的一个语句,服务器端向客户端写入
?>

setcookie返回的是一个布尔类型的值!

setcookie的属性(性质):

name        Cookie的名称

value        Cookie的值

expire       过期时间(终止; 到期)

path          Cookie的有效路径

domain     Cookie的域名

secure      https(如果不是https,cookie就用不了)

httponly    仅仅通过http 协议访问,不能通过JS访问

浏览器cookie信息在哪里看?F12--存储

服务器端向客户端写入cookie(身份证)的过程:
浏览器在访问页面是时候会自动携带cookie信息

1.php代码:

<?php
setcookie("name","AJEST",null,null,null,null,null);
// setcookie有七个参数
//过期时间写null就是浏览器关闭的时候到期
//路径写null就是默认
//null就是默认,不写就用默认选项
/*
name        Cookie的名称
value        Cookie的值
expire       过期时间(终止; 到期)
path          Cookie的有效路径
domain     Cookie的域名
secure      https(如果不是https,cookie就用不了)
httponly    仅仅通过http 协议访问,不能通过JS访问
*/

?>

 

服务器怎么接收cookie信息

$_COOKIE

2.PHP代码:

<?php
var_dump($_COOKIE);
?>

通过这个过程就完成了下发身份证再上传身份证的过程:
下发是通过setcookie()下发cookie
我们怎么提供身份证信息?(每次客户端浏览器 在发出请求的时候,自动都会携带Cookie信息)

窃取和欺骗
窃取是被窃取,就是你身份证丢了(身份证是放在客户端)
欺骗就是攻击者欺骗服务器

实际上身份证放在我们浏览器端是不安全的,所以我们可以考虑把身份证放在服务器端
如果我们把身份证放在服务器端,这种机制叫Session机制

session机制

session会把我们的身份证放在服务器端,但是session机制要依赖cookie实现,说明我们cookie是存放在浏览器端的一个文本,session也就是我们用户信息是存在服务器端的,但是我们session要依赖cookie来实现,我们session有个属性叫session id,这个session id也是发给浏览器的。
session id也有窃取和欺骗的风险,但是我们身份证放在服务器端,比放在浏览器端更安全!

session_start

session的实现我们需要session_start

<?php
session_start();//开启session机制
?>

再打开一个浏览器localhost/1.php,会发现这两个浏览器的session id不一样,意味着通过这个session id就可以区分不同的用户
session是放在服务器端的,那他到底放在服务器端的哪个位置呢?放在哪个缓存下

$_SESSION  完成对session数据的读写

 

源码

使用Cookie实现对用户登录的验证

index.php

<meta charset="utf-8">
<h1>刹那芳华论坛</h1>

<?php
if(isset($_COOKIE['name'])){
	echo "欢迎您,{$_COOKIE['name']} <a href='./logout.php'>注销</a>";
}else{
	echo "<a href='./login.php'>请登录</a>";
}
?>

login.php

<meta charset="utf-8">
<?php
if(isset($_POST['userSubmit'])){
	if(isset($_POST['userName']) && $_POST['userName']=="AJEST"
	&& isset($_POST['userPass']) && $_POST['userPass']=="123456"
	){
		if(setcookie("name","AJEST")){
			echo "登录成功,<a href='./index.php'>返回首页</a>";
		}else{
			echo "设置cookie错误";
		}
		
	}else{
		echo "用户名或密码错误<a href='./login.php'>请重新登录</a>";
	}
}else{
$htm=<<<HTML
<form
	action=""  
	method="post"
>
用户名:<input type="text" name="userName"><br/>
密码:<input type="password" name="userPass"><br/>
<input type="submit" name="userSubmit" value="登录"><br/>
</form>
HTML;
	echo $htm;
}

?>

logout.php

<meta charset="utf-8">
<?php
setcookie("name",$_COOKIE['name'],time()-3600);   //time()是当前时间
echo "已注销,<a href='./index.php'>返回首页</a>";
?>

进入首页(index.php)

登录(login.php)

注销(logout.php)

Cookie存在的风险实验(cookie被窃取)

窃取Cookie,直接登入

在一个浏览器上登入

打开另外一个浏览器的localhost页面,看到属于未登录状态,但是由于我们知道了cookie信息窃取了

我们打开console面板,写如cookie信息

document.cookie=("name=AJEST")

再刷新一下页面,就可以直接登录

现在,我们将第一个浏览器的页面注销,cookie信息被清空

但在另一个浏览器上没有收到任何影响

1.php(开启session机制)

<?php

session_start();//开启session 机制

$_SESSION['name']="GGG";

$_SESSION['age']=24;

?>

会在服务器端生成一个文件:

相比之下session要相对安全

2.php()


    <?php
    session_start();
    var_dump($_SESSION);
    ?>
我们只要在页面中开启了session_start
2.php就会根据我们客户端传过来的session id去找我们对应的缓存
如果缓存有值,$_SESSION就会获取存储在服务器端的session的这些变量

打开服务器端的session文件,会看到里面存放了我们前面设置的信息

使用session机制实现用户登入验证

index.php

<?php
session_start();//session_start()要写在最前面,前面不能有任何输出
?>
<meta charset="utf-8">
<h1>刹那芳华论坛</h1>
<?php
if(isset($_SESSION['userName']) && $_SESSION['userName'] =="GGG")
{
	echo "欢迎您,{$_SESSION['userName']} <a href='./logout.php'>注销</a>";
}
else
{
	echo "<a href='./login.php'>请登录</a>";
}
?>

login.php

<?php
session_start();
echo "<meta charset='utf-8'>";
?>
<?php
if(isset($_POST['userSubmit'])){
	if(
		isset($_POST['userName']) &&
		isset($_POST['userPass']) &&
		$_POST['userName'] == "GGG" &&
		$_POST['userPass'] == "123456"
	){
		$_SESSION['userName'] = $_POST['userName'];
		echo "登录成功,<a href='./index.php'>返回首页</a>";
	}else{
		echo "用户或密码错误,<a href='./login.php'>请重新登录</a>";
	}
		
}else{
	$html=<<<HTML
<form
	action=""
	method="post"
>
用户名:<input type="text" name="userName"><br />
密码:<input type="password" name="userPass"><br />
<input type="submit" name="userSubmit" value="登录">
</form>
HTML;
	echo $html;
}
?>

logout.php

<?php
session_start();
session_destroy();//session的注销函数
echo "<meta charset='utf-8'>已注销,<a href='./index.php'>返回首页</a>";
?>

在服务器端,生成一个与session值相对应的文件,文件为空

登录成功

再来看我们服务器端的session文件,存入了登录验证信息

返回首页

注销

与之对应的在服务器端,session文件被清空删除

session安全性实验

通样我们在另一个浏览器上打开,利用session值登入测试

服务器端与之对应的session值文件中存入信息

打开另外一个浏览器,生成新的sess值

替换前面的sess值

刷新:直接就进去了

当我们在第一个浏览器上注销之后

在另一个浏览器上使用前面的session值就会失效

因为服务器端与之对应的session文件内容已被清空,整个sessiom值失效了

因此,我们日常生活中也应该要重视注销这一环节,随手注销是个好习惯!

 

Wαff1ε
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php sessioncookie使用说明
12-18
1. PHPCOOKIE cookie 是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。PHP在http协议的头信息里发送cookie, 因此setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对header() 函数的限制类似...
CookieSession的区别(面试必备)
热门推荐
chen13333336677的博客
09-17 15万+
一、共同之处: cookiesession都是用来跟踪浏览器用户身份的会话方式。 二、区别: cookie数据保存在客户端,session数据保存在服务端。 session 简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,...
PHP会话技术(cookiesession)详解
eyes++的博客
07-26 2712
一:会话技术初步认识 会话技术介绍: web会话可以简单理解为:用户打开一个浏览器,访问某一个web站点,在这个站点点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。 HTTP协议的特点是无状态/无连接,当一个浏览器连续多次请求同一个web服务器时,服务器是无法区分多个操作是否来自于同一个浏览器(用户)。会话技术就是通过HTTP协议想办法让服务器能够识别来自同一个浏览器的多次请求,从而方便浏览器(用户)在访问同一个网站的多次操作中,能够持续进行而不需要进行额外的身份验证。 会
CookieSession
wwzzzzzzzzzzzzz的博客
04-29 6229
文章目录1. 什么是 Cookie2. 什么是 Session3. CookieSession 的区别4. 相关方法HttpServletRequest 类中的相关方法HttpServletResponse 类中的相关方法HttpSession 类中的相关方法Cookie 类中的相关方法注意事项5. 实现一个用户登录① 创建 maven 项目,引入需要的库和目录② 首先设计好前端后端交互接口③ login.html (登录页面)④ LoginServlet⑤ IndexServlet运行结
CookieSession详解
swadian2008的博客
02-12 2万+
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 一、关于Cookie cookie的基本概念 cookie是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户...
彻底了解CookieSession的区别(面试)
辰兮要努力
03-10 6万+
一篇文章彻底了解CookieSession的区别!
sessioncookie的区别
weixin_47450807的博客
03-22 2万+
一、在前面 今天在准备的面试的时候,看到一个题目,谈一谈sessioncookie的区别。我不会,下面进行总结一下。 二、区别 2.1、保存的位置不同 cookie保存在浏览器端,session保存在服务端。 2.2、使用方式不同 cookie如果在浏览器端对cookie进行设置对应的时间,则cookie保存在本地硬盘中,此时如果没有过期,则就可以使用,如果过期则就删除。如果没有对cookie设置时间,则默认关闭浏览器,则cookie就会删除。 session:我们在请求中,如果发送的请求中存在ses
前端cookiesession
前端技术的学习整理
05-15 8757
第一层楼 什么是 CookieSession ?初级程序员高频面试题。 什么是 Cookie HTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HT...
cookiesession的详解和区别
weixin_42583093的博客
02-03 8813
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1 Cookie机制 在程序中,会话跟...
练习:CookieSession相关试题
匿名攻城狮
01-24 7764
文章目录一、什么是状态管理二、简述什么是Cookie三、代码阅读,说明序号处代码的含义四、Cookie编码题五、简述Session的工作原理。六、Session编码题七、选择题 一、什么是状态管理 状态管理是将浏览器和服务器之间的多次交互当做一个整体,并将多次交互之间涉及的数据保存下来,提供给后续的交互进行数据的管理。 二、简述什么是Cookie Cookie是一种客户端会话技术,将数据保存在客...
CookieSession的失效时间
m0_61802230的博客
04-25 6027
Cookie cookie是浏览器自带,在客户端可以用来保存用户信息的一种方式,通过JavaScript可以增删改查cookie中的数据,一般会根据业务来决定是否设置过期时间: 没有设置失效时间(会话cookie); 1 关闭浏览器; 2.手动清除Cookie设置时间; 1.时间到了失效,即使关闭了浏览器也不会被清除,因为cookie信息被保存在了硬盘上,浏览器再次打开的时候就会读取硬盘上的数据,而且不同的浏览器之间是可以共享的; 2.手动清除CookieSession session
PHPcookiesession的区别实例分析
12-18
cookiesessionPHP程序设计中非常重要的技巧。深入理解并掌握cookiesession的应用是进行PHP程序设计的基础。本文就以实例形式来分析一下二者之间的区别。具体分析如下: 1.Cookie cookie 是一种在远程浏览器端...
详解PHPcookiesession的区别及cookiesession用法小结
10-22
主要介绍了PHPcookiesession的区别及cookiesession用法小结的相关资料,非常不错具有参考借鉴价值,需要的朋友可以参考下
CyberSecurityLearning 附】渗透测试技术选择题 + 法律法规
_Co1a
04-16 1万+
1、RDP的端口号为() A. 3389 B. 23 C. 22 D. 443 2、Burp Suite 是用于攻击()的集成平台。 A. web 应用程序 B. 客户机 C. 服务器 D. 浏览器 3、使用nmap进行ping扫描时使用的参数() A. -sP B. -p C. -p0 D. -A 4、nmap的-sV是什么操作() A. TCP全连接扫描 B. FIN扫描 C. 版本扫描 D. 全面扫描 5、在HTTP 状态码中表示重定向的是() A. 200 B. 302 C. 403 D.
CyberSecurityLearning 21】防火墙
_Co1a
02-23 2839
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、高级应用—双机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙的
CyberSecurityLearning 69】反序列化漏洞
_Co1a
04-17 2760
目录 反序列化 为什么要序列化 PHP 中序列化与反序列化 *简单的例子 *序列化Demo *漏洞何在? @ 创建一个类,一个对象并将其序列化和反序列化 @ 反序列化注入 *为什么会这样呢 反序列化 为什么要序列化 百度百科关于序列化的定义是,将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单地说,序列化就是把一个对象变成可以传输的字符串,可以以特定.
【内网安全】域横向内网漫游Socks代理隧道技术
_Co1a
09-21 2656
代理技术和隧道技术都属于内网穿透,代理主要解决内网里面通信的问题(比如对方在内网,你也在内网,这时候两个内网实现通信就必须要经过代理才能实现,常见工具有frp、ngrok和ew等,ew(earthworm已经停止更新了,就不演示)),和一些防火墙的拦截 隧道主要是一些安全设备和流量监控设备上的拦截问题 代理主要解决的是三种问题:内网主机有外网,内网有过滤有一些防火墙问题、内网里面无外网 必要基础知识点: 1.内外网简单知识 内网ip地址是私有ip地址(10/8, 172.16/1...
网络安全学习目录
_Co1a
03-15 2437
网络安全学习目录 第一阶段(1~28) 【CyberSecurityLearning 1】虚拟化架构与windows XP、windows server 2003、windows 2008、windows 7部署 【CyberSecurityLearning 2】IP地址与DOS命令 【CyberSecurityLearning 3】批处理、用户与组管理、服务器远程管理、破解Windows系统密码 【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器 【Cybe
【内网安全】域横向PTH&PTK&PTT哈希票据传递
_Co1a
09-13 2149
Kerberos协议具体工作方法,在域中,简要介绍一下: • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket) • 将TGT进行加密签名返回给客户机器,只有域用户krbtgt才能读取kerberos中TGT数据 • 然后客户机将TGT发送给域控制器KDC请求TGS(票证授权服务)票证,并且对TGT进行检测 • 检测成功之后,将目标服...
phpcookiesession的使用
最新发布
06-06
PHP中的cookiesession都是用来存储用户信息的工具。 cookie是一种在用户计算机上存储数据的方式,可以在浏览器和服务器之间传递数据。通过设置cookie,可以在用户下一次访问网站时自动获取之前存储的信息。cookie...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值