php登陆后安全设计,php用户登录之cookie信息安全分析

最新推荐文章于 2022-01-12 19:40:47 发布
最新推荐文章于 2022-01-12 19:40:47 发布
阅读量195 收藏
点赞数
文章标签: php登陆后安全设计

本文实例讲述了php用户登录之cookie信息安全。分享给大家供大家参考,具体如下:

大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。

下面就说说平常一些防止用户登录cookie信息安全的方法:

一、cookie信息加密法

cookie信息加密法即用一种加密方法,加密用户信息,然后在存入cookie,这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用,无法另外伪造cookie信息。

这里附上一个加密函数:

function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {

// 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙

$ckey_length = 4;

// 密匙

$key = md5($key ? $key : $GLOBALS['discuz_auth_key']);

// 密匙a会参与加解密

$keya = md5(substr($key, 0, 16));

// 密匙b会用来做数据完整性验证

$keyb = md5(substr($key, 16, 16));

// 密匙c用于变化生成的密文

$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length):

substr(md5(microtime()), -$ckey_length)) : '';

// 参与运算的密匙

$cryptkey = $keya.md5($keya.$keyc);

$key_length = strlen($cryptkey);

// 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),

//解密时会通过这个密匙验证数据完整性

// 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确

$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) :

sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;

$string_length = strlen($string);

$result = '';

$box = range(0, 255);

$rndkey = array();

// 产生密匙簿

for($i = 0; $i <= 255; $i++) {

$rndkey[$i] = ord($cryptkey[$i % $key_length]);

}

// 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上对并不会增加密文的强度

for($j = $i = 0; $i < 256; $i++) {

$j = ($j + $box[$i] + $rndkey[$i]) % 256;

$tmp = $box[$i];

$box[$i] = $box[$j];

$box[$j] = $tmp;

}

// 核心加解密部分

for($a = $j = $i = 0; $i < $string_length; $i++) {

$a = ($a + 1) % 256;

$j = ($j + $box[$a]) % 256;

$tmp = $box[$a];

$box[$a] = $box[$j];

$box[$j] = $tmp;

// 从密匙簿得出密匙进行异或,再转成字符

$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

}

if($operation == 'DECODE') {

// 验证数据有效性,请看未加密明文的格式

if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() --> 0) &&

substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {

return substr($result, 26);

} else {

return '';

}

} else {

// 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因

// 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码

return $keyc.str_replace('=', '', base64_encode($result));

}

}

$str = 'abcdef';

$key = 'www.jb51.net';

echo $jm = authcode($str,'ENCODE',$key,0); //加密

echo "

";

echo authcode($jm ,'DECODE',$key,0); //解密

?>

这样当设置用户信息的cookie时,就无法对其进行伪造:

$user = array("uid"=-->$uid,"username"=>$username);

$user = base64_encode(serialize($user));

$user = authcode($user,'ENCODE','www.jb51.net',0); //加密

setcookie("user",$user,time()+3600*24);

?>

二、用加密令牌对cookie进行保护

$hash = md5($uid.time());//加密令牌值

$hash_expire =time()+3600*24;//加密令牌值为一天有效期

$user = array("uid"=>$uid,"username"=>$username,"hash"=>$hash);

$user = base64_encode(serialize($user));

setcookie("user",$user,$hash_expr);

然后把$hash和$hash_expire 存入member表中hash和hash_expire对应字段中,也可以存入nosql,session

用户伪造cookie时,hash无法伪造,伪造的hash和数据库中的不一致

用户每次登陆,这个hash_expire有效期内不更新hash值,过期则更新

希望本文所述对大家PHP程序设计有所帮助。

weixin_39604557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php用户登录cookie信息安全分析
10-22
主要介绍了php用户登录cookie信息安全,介绍了cookie加密与令牌保护两种cookie信息安全保护的技巧,需要的朋友可以参考下
cookie安全性探究
weixin_34138056的博客
10-12 74
pc端和微信端登录的时候,一般我们都需要做记住密码这个功能,常用的技术手段就是将用户名和密码保存到本地浏览器cookie中。但是在大脑中总有一个声音告诉我说:cookie安全.....那怎么办呢,经过一天的探究,最终得到了结论:cookie 是保存在本地的一个文件,只要获取到了cookie文件,那么就很难避免密码的安全性。各位大神都只是不断提高co...
php cookie安全,PHP会话的cookie是否安全
weixin_30413679的博客
03-11 131
我正在努力确保我的会议安全.在做一些研究时,我估计基于Agent和IP的PHPPHPSESSID随机哈希足以防止劫持.你能做什么呢,真的.我使用HTTPS登录.据我所知,PHP的会话数据永远不会发送给用户,而是存储在服务器端.客户端仅获取会话的ID.会话数据保存实际的webapp用户会话,而后者又用于检查登录是否有效.一切都很好,花花公子.但是,有一个我在任何地方都找不到的细节.我想知道如果我使...
cookie安全性研究
hyhyct的专栏
02-18 408
cookie安全性研究  Cookie的格式及组成  Cookie由变量名和值组成,类似Javascript变量。其属性里既有标准的Cookie变量,也有用户自己创建的变量,属性中变量是用“变量=值”形式来保存。   根据Netscape公司的规定,Cookie格式如下:     Set-Cookie: NAME=VALUE;Expires=DATE;Path=PATH;Domain=D
PHP安全编程之cookie暴露导致session被劫持
爱代码也爱生活
08-10 1931
使用Cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会话标识保存在cookie中,cookie的暴露就是一个严重的风险,因为它能导致会话劫持。 PHP为你处理相关会话管理的复杂过程 最常见的cookie暴露原因是浏览器漏洞和跨站脚本攻击(见专题前几部分)。虽然现在并没有已知的该类浏览器漏洞,但是以往出现过几例,其中最有名的一例同时发生在IE浏览器的4.0,
PHP cookie,session的使用与用户自动登录功能实现方法分析
10-16
当用户首次登录成功后,服务器会生成一个包含用户身份信息的安全Token(如哈希过的用户ID),并设置为Cookie。当用户下次访问时,服务器检查这个Cookie,如果验证通过,就无需用户再次输入登录信息,直接将用户视为...
php用户登录cookie信息平安分析_.docx
10-09
php用户登录cookie信息平安分析_.docx
PHP中SSO Cookie登录分析和实现
12-18
SSO(Single Sign-On)是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次登录即可访问同一服务器上的其他应用系统。这大大提升了用户体验,减少了用户记忆和输入多个用户名和密码的繁琐过程。在企业...
php cookie安全,关于php:使用登录Cookie的相对安全的方法是什么?
weixin_29378975的博客
03-11 196
我想知道Cookie登录的最安全方式是什么?如果您仅将通行证(用salt加密)和用户名存储在cookie中并针对用户表进行验证,潜在的攻击者可以窃取Cookie登录。人们通常不会在"最后一次上网"时查看该信息。那么"记住我的cookie"是否有更好的方法?IP不是一个很好的选择,是吗? (某些机器一直在更改IP)。请告诉我们有关您的应用程序将使用此功能的信息。 假冒/身份盗窃的潜在影响是什么?大...
使用PHP实现用户登录和注册的功能——用户表
12-18
这是使用PHP实现用户登录和注册的数据库文件,代码段链接为: http://blog.csdn.net/jimoshuicao/article/details/17403327
2018年最新PHP面试题
热门推荐
snailwang的博客
03-18 14万+
面试之前多看看公司的资料,可以看出面试的公司主要做什么,电商,数据库,php函数,sql的优化,接口,session和cookie等经常会问到,都是必问之题,这其中有一部分题目摘抄自网络,回答也不错 1.请自我介绍一下? 答:我叫xxx,来自北京,20xx年毕业于xx大学计算机xx系,毕业后在武汉从事了x年的php开发工作,公司是一个外包公司,主要做微信开发,公众号推广,商城,论坛的开...
PHPCOOKIE及时生效,不需要再次刷新页面
dcj3sjt126com的专栏
12-16 232
PHPCOOKIE第一次只是创建了这个COOKIE,再次刷新页面后才能使用这个值。   setcookie($var, $value, $time, $path, $domain, $s); //假设COOKIE名称为$var,值为$value COOKIE[$var] = $value;     先用setcookie函数创建COOKIE;然后再对COOKIE进行赋值操作。 这样...
基于PHP实现安全用户登录系统需要注意哪些方面
08-22 974
1------密码要使用MD5(密码+字符串)进行加密。 2------登录表单的名称不要跟数据库字段一样,以免暴漏表字段。 3------用户表的表名、字段名、密码尽量用不容易被猜到的。 4------要使用验证码验证登陆,以防止暴力破解。 5------验证提交的数据是不是来自本网站。 6------登录后台处理代码数据库部分使用预处理,做好过滤,防止sql注入。 ...
安全科普:使用Cookie会导致哪些安全问题?
chiansec_的博客
01-12 9475
0x01 Cookie的前世今身 Cookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。 因为HTTP协议是不保存用户状态的,这使得用户在交互式的web应用中体验非常差。 在一个网上购物的场景中,用户向购物车添加了一些商品,最后结账时,由于HTTP的无状态性,不通过额外参数,服务器并不知道哪位用户购买了哪些商品。在这种场景下,服务端可通过设置或读取Cookie中包含的信息,维护用户的会话状态。 0x02 由Cookie延伸出的漏洞 在这篇文章中,我们将列出各种攻击.
信息安全实训系统php源码,用户登录cookie信息安全
weixin_35992880的博客
03-29 105
用户登录cookie信息安全一、cookie信息加密法cookie信息加密法即用一种加密方法,加密用户信息,然后在存入cookie,这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用,无法另外伪造cookie信息。这里附上一个加密函数:0) &&substr($result, 10, 16) == substr(md5(substr($result,...
php登录验证实现方法,php 用户登录验证码的实现方法
weixin_39861920的博客
03-25 1572
下面我们用Mysql数据库来存储用户的身份,我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性.首先,在MySql中建立一个存放用户信息的数据库,数据库名为XinXiKu,表名为user;表定义如下:create table user(ID INT(4) NOT NULL AUTO_INCREMENT,name V...
PHP验证登录状态和安全
Ryan Z 的技术日志
07-25 3203
固定的私钥来做salt其实不好,一旦私钥泄漏之后就很麻烦,而且最痛苦的其实是你不知道你到底有没有泄漏 用户的密码字符串作为salt是更好的办法 签名字符串: $sign = md5('$user_id+$user+_password[+浏览器UA[+IP地址[...]]]'); 里面爱加什么你可以自己发挥 存储到cookie里面的字符串为 $token = $user
PHPCOOKIE及时生效,不用刷新就可以使用
chenrui310的博客
04-16 1424
今天遇到了phpcookie必须刷新再生效的问题,可用一下方法解决://PHP COOKIE设置函数立即生效,支持数组function cookie($var, $value = '', $time = 0, $path = '', $domain = '', $s = false){    $_COOKIE[$var] = $value;    if (is_array($value)) { ...
为什么要用cookie和session【多测师_王sir】
多测师_王sir的博客
08-28 655
为什么要用Session和Cookie? 简单一句话,因为Session和Cookie可以记录用户状态信息。 这到底啥意思呢? 一、动态网页的出现 什么是静态网页 含义:一个网页的内容是HTML代码编写的,文字、图片等内容均可通过HTML代码指定了 优势:加载速度快,编写简单 劣势:可维护性差,扩展性差,不能根据URL显示不同的内容;例如:在URL传入一个name参数想在网页上显示,...
PHPsession和cookie讲解笔记
12-28
为了解决这些问题,我们可以通过设置cookie的属性来增强其安全性,或者通过使用session和cookie相结合的方式来综合利用它们的优点。 总结起来,本文详细介绍了PHP session和cookie的概念、原理和用法。通过学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值