PHP写登录安全之-会话固定和会话重用即session和cookie的使用

最新推荐文章于 2023-09-06 17:35:47 发布
最新推荐文章于 2023-09-06 17:35:47 发布
阅读量711 收藏
点赞数
分类专栏: PHP日常笔记 文章标签: PHP登录 设置PHPsession PHP cookie 会话重用 会话固定
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013952845/article/details/88242359
版权

最近在给政府单位做网站后台编辑模块,被检测出会话固定和会话重用安全问题,解决如下:

解决思路:

首先在做登录是,必须要了解的是客户端的cookie和服务端的session,登录后,不仅要保存服务端的session,还要保存浏览器即客户端的cookie,检测登录时,必须session和cookie的相同key的value值相同,才可验证是否登录。

通过刚才的思路,我们有如下操作:

1、登录界面代码编写;(自己写吧,这里不麻烦写了)

2、点击登录之后的PHP代码逻辑编写;

特别注意的是,当登录用户名和密码以及验证码验证通过后,需要些如服务端session:例如

$se = md5($admin_info['id'].$admin_info['user_name'].time());
Session::set('yebao_admin', [
            'admin' => [
                'admin_id' => $admin_info['id'],
                'user_name' => $admin_info['user_name'],
            ],
            'is_login' => true,
            'auth' => $se,
        ]);

$se :用户ID+用户名+时间的MD5加密字符串,编写浏览器cookie是也要用到这个字符串

$admin_info:用户信息

然后编写浏览器cookie:例如

setcookie("auth", $se,time()+3600,"/");

记住,setcookie时,一定要注意加上第三个参数值 “ "/" ”,做到全局更换,不然浏览器认为只在当前页面设置了cookie,而不是全部页面。

有关注意事项,下图中已用红框标记:↓

至此,登录操作完成,之后的验证是否登录就好做多了。 

政东.zd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php session 加密,php中的cookiesession以及sessioncookie安全讨论
weixin_32561885的博客
03-10 158
Cookie是什么?从web编程角度来说,就是一个通过http协议响应头发送的key=value类型的小文本,Cookie一般由服务器端脚本产生,通过http协议头发送至用户浏览器端,不同品牌的浏览器在接受到这些Cookie后会在硬盘中生产一个小文本记录该Cookie的相关信息,在该Cookie设定的过期时间未到之前用户下次访问该网站时,浏览器会通过http请求头信息将该Cookie发送给服务器端...
变脸式应用 / 会话重用与自动登录
天笑的博客
02-21 755
自动跳转登录页和会话重用为了避免每次打开或刷新应用都要再登录会话重用是实现短期免登录进入的常用方法。[任务] 打开H5应用时(从任意入口页进入),如果刚刚登录过,则可以免登录直接打开入口页。 如果尚未登录过,则跳转至登录页面,待登录成功后跳转到入口页。 点退出登录回到首页,如果首页必须登录,则到登录页。 在操作过程中,一旦调用某个接口返回了未登录错误(实际中可能是客户端掉线、服务端重启等情况),
PHPSessionCookie:存放 安全 应用场景 过期设定 依赖关系
思维小刀
06-02 158
PHPsessioncookie区别
PHP 解决XSS和会话重放
design321的专栏
08-08 716
XSS: function safeFilter ($data) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/',...
会话控制(CookieSession
qq_43680092的博客
05-13 490
会话控制(CookieSessionCookie Cookie简介:Cookie实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后,每次向服务器发送请求时都会同时将该信息发送给服务器,服务器收到请求后,就可以根据该信息处理请求,区分不同用户。 Cookie运行原理: ①客户端发送请求,服务器创建Cookie对象,该对象携带用户信息,同时发送给浏览器。 ②以后用户每次请求都...
PatientenVerwaltung:Kleines Projekt- Grundlagen PHP-Sessions,Cookie和OOP
02-16
本项目“PatientenVerwaltung”是学习和实践PHP基础知识的理想平台,特别关注了PHP会话Sessions)、Cookie以及面向对象编程(Object-Oriented Programming, OOP)的应用。通过这个小型项目,我们可以深入了解这些...
php session 预定义数组
10-30
- **避免会话劫持**:使用HTTPS连接,确保会话ID的安全传输,并考虑使用自定义的会话ID生成算法,减少预测和重用的可能性。 6. **最佳实践** - 在每个需要使用会话的页面顶部调用`session_start()`。 - 不要在...
几个常见的php类-分页,数据库,session,cookie,上传类
05-30
PHP编程中,有几个核心概念和技术对于Web应用的开发至关重要,包括分页、数据库操作、会话Session)管理、cookie处理以及文件上传。这些功能通常通过类来封装,以便于代码的重用和模块化。下面将详细介绍这些类...
CP4U:使用MVC和OOP的全栈CRUD电子商务项目
03-25
- **会话管理**:处理用户登录状态,使用sessioncookie来跟踪用户信息。 - **错误和异常处理**:设置适当的错误报告级别,捕获和处理运行时可能出现的问题。 4. **CRUD操作**: 在电子商务项目中,CRUD操作至...
PHP实例开发源码-坐车网程序 php版 v1.0.zip
10-17
PHP还提供了丰富的内置函数和类库,可以帮助开发者更高效地完成任务,如`mysqli`扩展用于数据库操作,`date`函数用于处理日期和时间,`session`和`cookie`管理用户会话。 此外,该项目可能包含配置文件,如`config....
Https优化方案(服务端优化配置篇--重用Session
supertor的博客
12-06 2750
HTTPS的主要缺点是需要设置连接,每次新的TLS连续都需要握手,以便创建共享的加密密钥,这个握手过程在标准TCP的握手过程之上还需要两个额外的来回过程,用这样一个高延时的连接,在网站第一个字节传输之前需要三个来回就让人感觉这个网站有点慢。 TLS有几个特征可以用来消除额外的来回,比如重用一个会话session,两个标准会话重用机制是 session IDs (RFC 5246) 和 sessi...
TLS/SSL 协议详解 (22)会话复用
叼哥的博客
11-19 6422
由于SSL握手的非对称运算无论是RSA还是ECDHE,都会消耗性能,故为了提高性能,对于之前已经进行过握手的SSL连接,尽可能减少握手round time trip以及运算。   SSL提供2中不同的会话复用机制。 1:session id会话复用   对于已经建立的SSL会话使用session id为key(session id来自第一次请求的server hello中的session...
session 重用带来的性能
bzhang19841212的专栏
06-18 1128
大体测试了一下,每次重开一个session和公用一个session消耗的时间: 插入记录条数 公用 每次建立新的session 100 250ms 2454ms
记一次会话重用导致kill的资源不释放问题
Mikya_清风的博客
09-05 515
一、问题描述 2019-06-12 9:56 应用负责人打电话告知一个环境应用非常卡,单据无法保存。通过查看数据库等待事件,发现数据库有大量的行锁阻塞,和应用负责人确认后,手动结束掉产生锁,会话状态是INACTIVE,并阻塞其他会话会话。 语法如下: alter system disconnect session '451,327' immediate; alter system dis...
HTTPS重用Session ID与负载均衡
CR.MO
12-04 5481
0x00 Session ID复用           在建立TLS连接时,服务器返回的Server Hello包会携带一个Session ID,如图。     在之后建立TLS连接时可以复用此Session ID,可以减少一个来回的过程。下图是完整的TLS连接建立过程:       下图是复用Session ID连接建立过程:
会话机制的一些解释与session对象
LCreator的博客
02-21 2244
1.会话机制 用户在浏览器某个网站时,从进入网站到浏览器关闭或离开该网站所经过的这段时间,也就是在这个网站连续访问的期间,称为一个会话。当一个客户访问一个服务器时,可能会在这个网站的几个页面进行反复连接,反复刷新一个页面,由于HTTP协议是无状态协议,此次连接无法得到上次连接的状态,同一个用户的多次访问数据的维护无法由HTTP协议自身完成,而网站的应用程序应当通过某种方法来维护同一个客户访问的数
基于SSRF漏洞复现引发的CRLF之(session会话固定+XSS)组合拳利用思路
最新发布
yuan_boss的博客
09-06 1949
Weblogic SSRF漏洞。其中涉及到了注入HTTP头,利用Redis获得反弹shell,这里引发了我的一些思考,因此我下了这篇文章。​我的思考主要起源于:为什么我们在SSRF的利用中,使用http协议能对redis直接进行操作?
会话Session固定
:)每天进步一点点
09-29 6148
会话(Session)固定   会话安全是一个复杂的话题,会话经常是攻击的目标也没有什么奇怪的。多数会话攻击都是通过攻击者模拟另外一个用户发送数据实现的。   对于攻击者决定性的信息是会话标识,任何伪装的攻击都需要这个。有三个方法获得合法的会话标识:   预测   劫持   固定   预测依赖猜测合法的会话标识。根据 PHP会话原理,会话标识是相当随机的,这不大可能是薄弱环节。
JSP面试精华:Cookie, Session存储与Servlet基础
1. **CookieSession的区别**:Cookie主要存储在客户端的浏览器中,作为小量的、临时的数据,而Session则保存在服务器端,通常与用户的会话关联。面试时可能会要求考生解释数据是如何在这些媒介间传递的,以及在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值