我正在用php注册/登录系统.我想我已经解决了所有的初始登录内容(用salt哈希密码,存储在db中…).
我的问题是关于在首次登录后保持用户在页面之间的登录.据我了解,一种方法是在服务器上建立一个会话表,为每个用户存储一个随机的唯一ID,并将该ID存储在用户计算机上的Cookie中.他们为每个页面加载的所有方式是在数据库中查找其会话ID.
我不明白的是那是安全的吗?不能有人只是嗅探ID,然后假冒该用户身份.有人甚至可以尝试猜测ID.
我还读到,最好是在每次访问页面时更改ID.如何提高安全性?看来这将减少使用任何ID的时间.
另外,如果使用“记住我”功能可以长时间存储,这些更改将如何进行?
解决方法:
您所描述的ID就是会话ID的确切含义,除了它是由php透明地为您处理的(浏览器将此会话ID与cookie一起传递).
您所描述的安全漏洞正是07000所利用的.通过确保对站点的所有身份验证请求都通过ssl进行,可以防止监听会话ID.这不仅包括登录,还包括任何经过身份验证的用户尝试访问页面的时间(这意味着浏览器将传递经过身份验证的会话ID).
如果用户尝试不通过SSL访问页面,则理想情况下,您应该将其重定向到SSL页面并为其提供新的会话ID,因为旧的会话ID可能已被破坏.
标签:security,php
来源: https://codeday.me/bug/20191208/2093271.html