php 安全类,PHP高级安全会话类

最新推荐文章于 2024-04-18 15:41:56 发布
最新推荐文章于 2024-04-18 15:41:56 发布
阅读量67 收藏
点赞数
文章标签: php 安全类

在一个实习中,我正在跟着一本关于为购物车进行高级PHP安全会话的非常好的教程,这将为用户提供个人级别的定价(无论如何,这是目标)。

这是教程:

http://tutorial-resource.com/2011/10/a-secure-session-management-class-in-php/

首先,我创建了一个原始登录,用于检查基于Quickbooks客户ID的现有客户,以用于测试此会话。真正的交易使用注册,登录和密码。然后我做了一个登录检查器,在mysql数据库中查找用户,并在找到时检索需要与用户一页接一页的用户数据列。 (我承诺我会进一步防止SQL注入后,我得到这个工作。)我添加了一些额外的字段存储在SessionData中。

include "class.session.php";

if(empty($_POST['customer_id']))

{

$this->HandleError("Customer ID is empty!");

return false;

}

$customer_id = trim($_POST['customer_id']);

$dbuser = "CENSORED";

$dbpass = "CENSORED";

$host = "localhost";

$dbname = "CENSORED";

// database connection

mysql_connect("localhost", $dbuser, $dbpass) or die(mysql_error());

mysql_select_db($dbname) or die("Unable to select database");

//This query grabs all the puchases going back up to three months

//This debug line displays the query

$query = "SELECT * FROM customers";

echo $query."
";

$found = 0;

$result = mysql_query($query);

while($row=mysql_fetch_array($result))

{

//Grab the database pieces the customer will need throughout the page.

echo "Checking customer number ".$row['customer_id']."
";

if ($row['customer_id'] == $customer_id)

{

$found = 1;

break;

}

}

//-create while loop and loop through result set

if ($found == 0)

{

echo 'Wrong customer number';

}

while($row=mysql_fetch_array($result))

{

//Grab the database pieces the customer will need throughout the page.

$customer_id = $row['customer_id'];

$first_name = $row['first_name'];

$last_name = $row['last_name'];

$first_name = $row['price_level'];

}

//Give the user a session.

$sessions = new sessionsClass;

$sessions->_sessionStart();

$sessionInfo = $sessions->sessionCheck();

if( $sessionInfo = false )

{

# This session is invalid. Tell the user.

}

else

{

# Update the name.

$sessionInfo->sessionData['customer_id'] = $customer_id;

$sessionInfo->sessionData['company_name'] = $company_name;

$sessionInfo->sessionData['first_name'] = $first_name;

$sessionInfo->sessionData['last_name'] = $last_name;

$sessionInfo->sessionData['price_level'] = $price_level;

$sessionInfo->setSessionData();

# Session is valid, can use the data.

echo "Your name is ".$sessionInfo->sessionData['first_name']." ".$sessionInfo->sessionData['last_name']."
";

}

?>成功登录后,我在error_log中看到一个错误

“明确函数存在时,调用未定义方法stdClass :: setSessionData()”,直接从教程中获得:

$ sessionInfo-> setSessionData();

为什么登录无法将setSessionData识别为未定义的方法而不是函数?

我不完全理解的一个线索是,它将setSessionData作为“未定义的方法stdClass”而不是“未定义的函数”。该函数与教程非常相似,只是它连接到我的db:

public function setSessionData()

{

$dbuser = "CENSORED";

$dbpass = "CENSORED";

$host = "localhost";

$dbname = "CENSORED";

// database connection

mysql_connect("localhost", $dbuser, $dbpass) or die(mysql_error());

mysql_select_db($dbname) or die("Unable to select database");

//Encrypt the data.

$serialiseData = serialize( $this->sessionData );

//Update the session data.

mysql_query( "UPDATE sessions SET sessionData = '{$serialiseData}' WHERE sessionHash = '{$this->sessionHash}'" );

}我的最后一个问题是,每个单独的页面都需要什么来安全地区分普通用户和登录用户,而不管网页是什么?是这样的吗?

if (sessionCheck == false)

{show ordinary stuff}

else if (sessionCheck == return true)

{show personalized stuff}编辑本教程似乎有一些问题毕竟。例如,接近教程的结尾。

# Session is valid, can use the data.

echo "Your name is " . $sessionInfo->sessionData['fullname'];

# Update the name.

$sessionInfo->sessionData['fullname'] = "My New name";

$sessionInfo->setSessionData();

}这是错误的,因为sessionInfo是一个布尔值,意味着返回true为false。相反,我用这个替换了它

$sessions->sessionData['customer_id'] = $customer_id;

$sessions->sessionData['company_name'] = $company_name;

$sessions->sessionData['first_name'] = $first_name;

$sessions->sessionData['last_name'] = $last_name;

$sessions->sessionData['price_level'] = $price_level;

$sessions->setSessionData();但是这仍然没有成功。另外,本教程还创建了一个完整的MySQL数据库,但是在课程或教程中的任何地方都不会发生单个INSERT。已有会话的UPDATE查询功能在那里,但没有创建新功能的功能。我可以添加什么来让数据库成功创建会话?

岳逢楽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全简介 PHP
tusi
03-26 3211
背景 开发安全的应用程序十分重要,有漏洞的程序很容易被入侵,入侵后会造成无法承担的损失。 参考文章 Web 安全 读书笔记 [译] 2018 PHP 应用程序安全设计指北
php简单的会话类代码
12-19
本文将深入解析给定的`session`类代码,并讨论PHP中的会话管理和安全性。 首先,让我们看下提供的代码片段。这个`session`类提供了一种封装`$_SESSION`全局数组的方式,便于管理用户的登录状态。类中有几个关键方法...
php安全类,php安全,防注入类
weixin_34158442的博客
03-12 84
简介:classParams{public$get=array();public$post=array();function__construct(){if(!empty($_GET)){foreach($_GETas$key=>$val){if(is_numeric($val)){$this->get[$key]=$this->getIn...
tp php运算 round,THINKPHP使用I()函数中过滤的问题
weixin_39774044的博客
03-13 279
后台接收富文本的值,不进行过滤。然后用函数处理xss一般用这个方法//过滤XSS攻击function reMoveXss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as /...
php 安全类,PHP代码安全--类型对比
weixin_34847426的博客
03-11 55
字符串与数字对比原理:$a='1DullCat';$b='DullCat1';var_dump($a==1);//truevar_dump($b==1);//falseintval($a);//1intval($b);//0php的对比运算时,是会将两个变量都转换为相同类型,不同变量的无法对比当字符串和int类型对比时,将会把字符串转化为int类型,相当于字符串在底层执行了...
php框架 安全类,开发一个简单的PHP框架,有哪些安全问题需要注意?
weixin_42499681的博客
03-19 68
自认为,做一个最简单的PHP mvc框架,用URL路由函数匹配URL中的controller和method的名字,如果method_exists则new该controller再用call_user_func_array执行该method,否则引入error的controller,每个controller中可以require引入model,再require引入tpl,这是我做一个最简单的PHP框架的...
PHP 安全问题入门:10 个常见安全问题 + 实例讲解_php 安全性和错误处理
mm627mm的博客
04-18 779
需要澄清的一点是:密码哈希并不是密码加密。MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如ISP运营商。如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件。
Web会话管理安全问题
weixin_42081313的博客
06-11 1321
Web会话管理安全问题
php知识点-安全
wxjing1的博客
04-18 1607
在文件上传过程中,$_FILES变量中包含了文件的大小、类型等信息。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。哈希(Hash)用于将任意长度的输入通过散列算法变换成固定长度的输出,需要使用 hash_equals() 函数来进行比较哈希,hash_equals() 是可以防止时序攻击的一种。(2)文件执行权限不当:PHP服务器在保存上传文件时,如果没有正确设置或检查文件的执行权限,黑客可能通过上传恶意文件来执行任意代码。
PHP代码安全基础1
ThegreatHaige的博客
01-12 2432
PHP代码安全基础 文章目录PHP代码安全基础一. 文件上传与下载1. 1文件上传1.2文件下载1.2文件修改核心:文件读写二.输入/出类2.1XSS2.2CSRF(XSRF) ​ 此主要是针对PHP代码中常见遇到或是涉及到的安全问题,总而言之就是安全很大程度是和功能相 挂钩的。因此往往功能越复杂,安全问题越容易产生。 一. 文件上传与下载 1. 1文件上传 <!-- 2022年1月10日00:16:06 总结:上传方式三种大类: 1.自写上传 2.编辑器上传
基于php开发的传奇竞技游戏类网站
04-19
综上所述,基于PHP开发的传奇竞技游戏类网站涉及的技术面广泛,从后端开发到前端展示,从数据安全到用户体验,都需要综合考虑并精心设计。这样的项目不仅考验开发者的技术功底,还要求他们具备良好的项目管理和团队...
PHP-Session-Management:使用会话管理类维护安全会话
06-27
该类用于维护和管理网站的会话。 通过本课程,您可以: 开始会话。 重新生成会话 ID。 检查会话是否有效。 关闭会话。 在这个类中,可以使用用户的指纹来验证会话。 指纹包括安全词、IP 地址、浏览器详细信息和...
一个php类用于处理cookie会话.zip
07-11
这个名为"一个php类用于处理cookie会话"的压缩包文件提供了一个PHP类,帮助开发者更方便、高效地管理和操作Cookie和Session。下面将详细讲解关于Cookie和Session的基本概念,以及如何使用PHP类来处理它们。 首先,...
基于PHP的互联网网络科技类网站.zip
04-19
综上所述,基于PHP的互联网网络科技类网站的开发涵盖了广泛的技术和实践,从编程语言基础到高级设计模式,再到安全性、用户体验和性能优化。理解并熟练掌握这些知识点,将有助于创建一个高效、安全且用户友好的网站...
PHP常见漏洞的防范措施
大鹏
12-18 1994
一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
PHP高级编程:面向对象与核心技术解析
2. **高级函数和技巧**:探讨了如错误处理、异常处理、文件系统操作、数据库交互(如MySQLi或PDO)、会话管理、加密和安全实践等高级PHP函数和技巧。 3. **模板和框架**:可能涉及PHP的模板引擎,如Smarty,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值