安全的 PHP 注销脚本

于 2022-09-03 12:49:20 发布
阅读量456 收藏
点赞数
文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126676232
版权

CSRF攻击 PHP 会话令牌 注销脚本 安全性
关键词由CSDN通过智能技术生成

这是一个简短的 PHP 教程,介绍如何创建一个简单的用户注销脚本来防范CSRF 攻击

CSRF 攻击。

如果您还不知道,CSRF代表Cross-Site Request Forgery,这是一种攻击类型,可以欺骗毫无戒心的用户去做他们不打算做的事情。

在我们的注销系统的上下文中,此类攻击可用于诱骗毫无戒心的用户注销网站。

例子。

让我们看一下下面的示例,它假设您的注销脚本位于 logout.php:

<a href="logout.php">http://google.com</a>

上面的 HTML 链接看起来像是指向 Google 网站的链接。但是,如果毫无戒心的用户单击它,他们将退出系统。

会话令牌。

当用户登录您的网站时,您应该向他们提供加密安全令牌。然后,此令牌可用于验证某些操作并防范 CSRF 攻击。

登录脚本中可能包含的示例:

<?php

//start the session.
session_start();

/**
 * The code below should be executed after the user has successfully logged in.
 * It can also be executed whenever you need to
 * give the user a new token.
 */

//create a cryptographically secure token.
$userToken = bin2hex(openssl_random_pseudo_bytes(24));

//assign the token to a session variable.
$_SESSION['user_token'] = $userToken;

//redirect user to home page
header('Location: home.php');
exit;

在上面的 PHP 代码中,我们创建了一个令牌并将其分配给一个会话令牌。

我们的注销链接。

指向 PHP 注销脚本的 HTML 链接应如下所示:

<a href="logout.php?token=<?= $_SESSION['user_token'] ?>">Logout</a>

如您所见,我们在用户登录系统时提供给用户的安全令牌已以称为“令牌”的 GET 参数的形式附加到链接中。

单击此类链接将导致一个 URL,例如:

logout.php?token=27b87f10bb05279a749f19396b34d9550e7945213bec9d36

这将使我们的 PHP 注销脚本知道当用户单击注销按钮时正在使用什么令牌。

我们的 PHP 注销脚本。

最后,在我们的 PHP 注销脚本中,我们通过将查询字符串中的令牌与存储在用户会话中的令牌进行比较来验证它:

<?php

//Start the session as normal.
session_start();

//For backward compatibility with the hash_equals function.
//The hash_equals function was released in PHP 5.6.0.
//It allows us to perform a timing attack safe string comparison.
if(!function_exists('hash_equals')) {
    function hash_equals($str1, $str2) {
        if(strlen($str1) != strlen($str2)) {
            return false;
        } else {
            $res = $str1 ^ $str2;
            $ret = 0;
            for($i = strlen($res) - 1; $i >= 0; $i--) $ret |= ord($res[$i]);
            return !$ret;
        }
    }
}

//Get the token from the query string.
$queryStrToken = isset($_GET['token']) ? $_GET['token'] : '';

//If the token in the query string matches the token in the user's
//session, then we can destroy the session and log them out.
if(hash_equals($_SESSION['user_token'], $queryStrToken)){
    //Token is correct. Destroy the session.
    session_destroy();
    //Redirect them back to the home page or something.
    header('Location: index.php');
    exit;
}

如果令牌有效,我们使用 PHP 的session_destroy函数销毁用户的会话。此特定功能将销毁注册到会话的所有数据。如果令牌无效,则不会发生任何事情并且用户不会注销。

希望此注销教程对您有所帮助!

allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php用户注销代码,php注销代码(session注销)
weixin_39675289的博客
03-10 1361
php注销代码(session注销)复制代码 代码如下:注销session_start();session_destroy();header("location:index.php");?>时间: 2012-05-28★原因分析:有两种可能: (1)由于注册表的userinit.exe被误删: (2)由于system32下的userinit.exe被病毒删除,或者被卡巴连带病毒一起删除. 修...
PHP登录Cookie保持登录注销登录全套源码
07-05
6. **安全性**:在设计登录系统时,还需要考虑防止CSRF(跨站请求伪造)和XSS(跨站脚本)攻击。可以通过生成并验证CSRF令牌,以及使用`htmlspecialchars`函数对用户输入进行转义来增强安全性。 7. **错误处理和...
php注销代码(session注销)
10-28
为了安全管理员不想使用后台后,最好是注销下,其实就是销毁session
php 注销
烂笔头
05-18 839
destory_session.php 文件内容如下:————————————————————————————————————————session_start();session_unset();if(isset($_COOKIE[session_name()])){    setcookie(session_name(),session_id(),time()-10);}session_des
php清空session值_php三种清空session的方式
weixin_32595533的博客
03-09 405
本篇文章主要介绍php三种清空session的方式,感兴趣的朋友参考下,希望对大家有所帮助。session删除清空是很讲究了如果我们定义好可以清除指定变量否则不小心会把所有session都清除掉了,下面我们来看一些总结。第一种方式:unset($_SESSION['xxx']) 删除单个session,unset($_SESSION['xxx']) 用来unregister一个已注册的sessio...
会话:会话注销
02-20
PHP作为一种广泛使用的服务器端脚本语言,提供了强大的会话(Session)机制来跟踪用户的状态,从而实现跨页面的数据共享。本文将深入探讨“会话:会话注销”这一主题,包括PHP中的会话原理、会话控制以及如何实现...
PHP名片系统源码.zip
06-25
PHP作为一款开源的服务器端脚本语言,广泛应用于Web开发领域,尤其在构建动态网站时表现出强大的功能。本文将深入探讨一个基于PHP的名片系统源码,帮助开发者理解和掌握其核心原理,以及如何在实际项目中运用。 ...
PHP+mysql简单的登入注销源码.ra
01-12
PHP+MySQL简单的登入注销源码】是一种基于PHP编程语言和MySQL数据库的用户身份验证系统。这个源码实现了基础的用户登入与登出功能,并具备防止未授权直接访问的保护措施。 首先,我们来深入理解这个系统的关键...
Zuri-PHP-Webpage
04-10
【标题】"Zuri-PHP-Webpage"是一个基于PHP技术构建的网页项目,它主要实现了用户登录注销以及密码重置等基本功能。这个项目是Zuri训练的一部分,旨在帮助学习者掌握PHP编程和网页交互的核心概念。 【描述】在...
PHP用户注册登录退出代码
07-12
PHP用户注册、登录、退出源代码,包含文件 PHP_用户登录与退出.txt PHP_简单注册页面代码.txt
php实现注销功能,laravel 实现用户登录注销并限制功能
weixin_29689845的博客
04-09 149
在项目根目录输入: php artisan make:controller Admin/LoginControllerphp artisan make:model Model/Admin -m运行之后 项目中会新增两个PHP文件新创建了admins用户表,此用户表默认新建中只有主键,创建时间,编辑时间。我们接下来新加两个字段 用户名(username)和密码(password).在up函数中加上这...
php mysql 登录注销_laravel 实现用户登录注销并限制功能
weixin_39844942的博客
02-02 125
1. 创建登录控制器在项目根目录输入: php artisan make:controller Admin/LoginController2.创建用户模块 以及数据库php artisan make:model Model/Admin -m运行之后 项目中会新增两个PHP文件新创建了admins用户表,此用户表默认新建中只有主键,创建时间,编辑时间。我们接下来新加两个字段 用户名(username...
PHP注销删除Session变量的通用方法
fenghome的专栏
04-24 2159
PHP中SESSION的注销方法也比较讲究,如果使用不当,SESSION就有可能无法注销,通用的PHP SEESION注销方法如下:  // 初始化session. // 如果你使用session_name("something")这样的形式, 不要忘记了! session_start(); // 将全局SESSION变量数组设置空. $_SESSION = array();
php登陆限时,限时自动注销
weixin_29091105的博客
03-26 96
### Session Security TipsDespite there simplicity, there are still ways using sessions can go wrong. Here is a quick overview of some security techniques you can use to ensure you are using sessions s...
php用户注销代码,php – 如何从IPB外部注销用户?
weixin_35836574的博客
03-10 437
我已经建立了一个SSO(单点登录)系统,可以在我们的主站点和Invision Power Board软件之间使用,但我不确定如何在用户从主站点注销时将用户从IPB中删除?另外,我需要在外部文件中加载哪些文件才能执行此操作?最佳答案 编辑:为此使用IPB代码,您必须包括require_once(IPS_ROOT_PATH.’applications / core / modules_public...
php用户登陆与注销,利用会话控制实现页面登录与注销功能
weixin_32200729的博客
03-10 603
详细内容首先是一个普通的登陆页面实现登录页面login.php登陆页用户登录用户名class="form-control"id="username"name="username"placeholder="请输入用户名">密码class="form-control"id="password"name="password"placeholder="请输入密码">class="form-ch...
PHP实现退出登录功能
戴翔的技术博客
02-09 5942
PHP程序中,登录完成之后将存入session中,退出登录时,需要释放session,相应的代码如下所示。 <?php session_start(); if(isset($_SESSION["uid"])) // 检测变量是否设置 { session_unset(); // 释放当前在内存中已经创建的所有$_SESSION变量,但是不删除session文件以及不释放对应的se...
php 登陆代码,php实现用户登录注销的代码示例
weixin_28730549的博客
03-10 389
本篇文章给大家带来的内容是关于php实现用户登录注销的代码示例,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。之前虽然写过登录的功能,但是注销还没有认真的看过。特此记录当点击登录时,把用户账号信息以变量的形式存在定义的作用域(session)。session代表一次会话,只要你不关闭当前浏览器他的值就会存在,默认20分钟左右。// BisAccount变量名, $ret用户账号信...
PHP脚本执行与登录标识的持久化存储探讨
常量在PHP中是一个非常特殊的变量,一旦定义,其值在脚本生命周期内无法改变,这提供了数据的安全性和一致性。当涉及到当前平台或路径这类在整个脚本执行期间保持不变的信息时,使用常量确保它们不会被意外修改。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值