PHP何时以及为什么应该使用 session_regenerate_id()?

于 2022-09-03 17:09:35 发布
阅读量632 收藏
点赞数 1
文章标签: php 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126679845
版权

session_regenerate_id()是什么?

正如函数名所说,它是一个将当前会话ID替换为新的,并保留当前会话信息的函数。

它有什么作用?

它主要有助于防止会话固定攻击。会话固定攻击是恶意用户试图利用系统中的漏洞来固定(设置)另一个用户的会话 ID (SID)。通过这样做,他们将获得作为原始用户的完全访问权限,并能够执行原本需要身份验证的任务。

为防止此类攻击,请在用户session_regenerate_id()成功登录时(或为每个 X 请求)分配一个新的会话 ID。现在只有他拥有会话 ID,而您的旧(固定)会话 ID 不再有效。

我应该什么时候使用session_regenerate_id()

正如 symbecean 在下面的评论中指出的那样,会话 ID 必须在身份验证状态的任何转换时更改,并且在身份验证转换时更改。

进一步阅读:

allway2
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP Session_Regenerate_ID函数双释放内存破坏漏洞
10-28
**PHP Session_Regenerate_ID函数双释放内存破坏漏洞详解** PHP是一种广泛应用的服务器端脚本语言,广泛用于Web开发。在PHP中,`session_regenerate_id()`函数是用于生成一个新的会话ID并替换当前的会话ID,以增加...
php session_regenerate_id,什么时候以及为什么我应该使用session_regenerate_id()?
weixin_30324561的博客
03-13 458
什么session_regenerate_id()啊就像函数名称所说的那样,它是一个函数,它将用新的ID替换当前的会话ID,并保留当前的会话信息。它有什么作用?它主要有助于防止会话固定攻击。会话固定攻击是恶意用户试图利用系统中的漏洞固定(设置)另一个用户的会话ID(SID)的地方。这样,他们将拥有原始用户的完整访问权限,并且能够执行原本需要身份验证的任务。为防止此类攻击,请在用户session_r...
php session攻击,Session定置攻击的过程和预防
weixin_39949584的博客
03-31 256
问题确保用户的session标识符不会由第三方提供,例如挟持了用户的session的攻击者方案只要用户的授权范围改变,如成功登陆后,就通过session_regenerate_id()来重新生成session标识符session_regenerate_id();$_SESSION[‘logged_in’] = true;?>如上图,用户本次登陆时传递给服务器的cookies中的session...
session_regenerate_id 和 session_id 
bianb123的博客
03-28 751
session_regenerate_id(delete_old_session) 会将旧session文件复制一份,并且重命名成新session文件。 因为是复制操作,再不对新文件中的session数据修改的情况下,两份文件session数据相同。 其中delete_old_session设置为true时,复制完成后,将删除旧session文件。 session_id([st...
PHP sesion_start()或者session_regenerate_id()提示Cannot regenerate session id - headers already sent in
zwcwu31的专栏
03-15 2420
这个很好解决,只需要在首行加入:ob_start(); 就可以随意输出了。 示例如下: ob_start(); if(!session_regenerate_id(TRUE)){ echo "oh no, delete failed"; } else {echo "
php的session的原理,PHP中的Session工作原理
weixin_31998661的博客
03-20 236
一直在使用session存儲數據,一直沒有好好總結一下session的使用方式以及其工作原理,今天在這里做一下梳理。這里的介紹主要是基於php語言,其他的語言操作可能會有差別,但基本的原理不變。1.在php中如何操作session:session_start();//使用該函數打開session功能$_session  //使用預定義全局變量操作數據使用unset($_sessio...
定时+分条件运行+登陆+主页+_SESSION安全设置.rar
01-19
1. 使用`session_regenerate_id()`函数在用户成功登录后生成新的会话ID,以防止旧的会话ID被恶意使用。 2. 设置合适的会话过期时间,如`session.cookie_lifetime`和`session.gc_maxlifetime`,以限制会话的有效期。 ...
深入讲解PHP Session及如何保持其不过期的方法
10-23
- **SessionId保持不变问题**: 如果需要在多个设备或浏览器窗口保持SessionId不变,可以考虑使用持久Cookie,将session_id的过期时间设置为一个较远的日期。这需要在设置Cookie时指定`setcookie(session_name(), ...
PHP SESSION机制的理解与实例
10-17
同时,调用session_regenerate_id()来生成新的session_id,确保旧的SESSION数据不再被使用。 总结来说,PHP SESSION机制通过文件系统或用户自定义的方式来存储用户状态,session_start()启动SESSION并可能触发垃圾...
PHP中session特点及用途,PHP特点之会话机制2——Session及其使用
weixin_35911805的博客
04-15 225
会话机制(Session)在 PHP 中用于保存并发访问中的一些数据。这使可以帮助创建更为人性化的程序,增加站点的吸引力。一个访问者访问你的 web 网站将被分配一个唯一的 id, 就是所谓的会话 id. 这个 id 可以存储在用户端的一个 cookie 中,也可以通过 URL 进行传递.会话支持允许你将请求中的数据保存在超全局数组$_SESSION中. 当一个访问者访问你的网站,PHP 将自动检...
PHP学习练手(十四)
慢慢的专栏
01-09 532
SESSION会话会话(session): 会话假定数据存储在服务器上,而不是浏览器中,会话标识符用于定位特定用户的记录(会话数据)。这个会话标识符通常通过cookie存储在用户的浏览器中,但是,敏感数据本身(如用户ID,姓名等)总是保留在服务器上。 会话与cookie的优缺点: 会话优点: 1. 一般更安全(因为数据保存在服务器上) 2. 允许存储更多数据 3
session_id()和session_regenerate_id()对原来session文件和其中数据是怎么处理的
weixin_33859231的博客
03-29 1849
    一、session_id()对原来session文件和里面的数据,是怎么处理的?   测验办法:<?php$sid = md5("aaad");session_id($sid);session_start();var_dump(session_id());$_SESSION['ddd'] = 123;?>   是新创建一个session文件。那么原来PHPSESSI...
php sessionregenerateid,PHP: session_regenerate_id - Manual
weixin_42297742的博客
04-05 119
//my_session_start()emy_session_regenerate_id()evitamaperdadasessãocausadapor//redesinstáveis.Alémdisso,estecódigopodeevitarqueasessãoseja//roubadaporatacantes.functionmy_sess...
报警告session_regenerate_id(): Failed to create(read) session ID: files (path: N;/path)
weixin_30401605的博客
02-14 1066
php.ini文件中的session.save_path = "N;/path"注释掉(前面加分号) 转载于:https://www.cnblogs.com/jerrypro/p/6395972.html
php如何删除session,PHP: session_regenerate_id - Manual
weixin_36444881的博客
03-10 195
This feature seems to create a new session ID without clearing the old session data. This is a very important feature for security validation:$usedns = TRUE; // for eliminating failture by proxys usin...
<?php header("Content-Type: text/html; charset=UTF-8"); $expires = 60 * 20; //session 超时时间 function check_user_agent() //构造函数检查 User-Agent 的一致性 { if (isset($_SESSION['HTTP_USER_AGENT'])) { if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT'])) //user-agent 不一致 { exit('客户端信息异常'); } } else { $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']); } } function start_session($expire = 0) { session_start(); if ($expire != 0 && isset($_SESSION['last_visit'])) { $time_last = time() - $_SESSION['last_visit']; if (isset($_SESSION['expiretime'])) //如果超时 { session_unset(); session_destroy(); exit("<a href='login.html'>请重新登录</a>"); } } $_SESSION['last_visit'] = time(); //检查 user-agent 一致性 session_regenerate_id(true); //重置 SessionID } ?>补全这段代码
最新发布
06-02
这段代码是一个 session 的简单实现,但是缺少了 session 超时功能的具体实现。下面是补全后的代码: ```php <?php header("Content-Type: text/html; charset=UTF-8"); $expires = 60 * 20; // session 超时时间,单位为秒 function check_user_agent() { if (isset($_SESSION['HTTP_USER_AGENT'])) { if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT'])) { exit('客户端信息异常'); } } else { $_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']); } } function start_session($expire = 0) { session_start(); // 如果 $expire 不为 0,表示 session 超时时间为 $expire 秒 if ($expire != 0 && isset($_SESSION['last_visit'])) { $time_last = time() - $_SESSION['last_visit']; if ($time_last > $expire) { // 如果超时 session_unset(); // 释放所有的 session 变量 session_destroy(); // 销毁 session exit("<a href='login.html'>请重新登录</a>"); } } $_SESSION['last_visit'] = time(); // 更新 session 最后访问时间 check_user_agent(); // 检查 user-agent 一致性 session_regenerate_id(true); // 重置 session ID } ?> ``` 补全后的代码加入了 session 超时功能,通过比较当前时间和上次访问时间的差值来判断是否超时,如果超时则销毁 session 并输出重新登录的链接。同时,代码中还调用了 `check_user_agent()` 函数来检查 user-agent 的一致性,防止伪造 user-agent。最后,代码中还调用了 `session_regenerate_id()` 函数来重置 session ID,增强 session 的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值