小迪安全15 PHP 开发-个人博客项目&登录验证&Cookie&Session&验证码安全

最新推荐文章于 2024-06-30 09:01:33 发布
最新推荐文章于 2024-06-30 09:01:33 发布
阅读量426 收藏 11
点赞数 9
文章标签: 安全 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73760178/article/details/135418487
版权
本文探讨了后台验证中的登录逻辑安全,包括Cookie和Session的身份验证机制,以及它们面临的威胁如Cookie伪造、Session劫持和SQL注入。还提到了验证码的功能及其防止重复利用的方法。
摘要由CSDN通过智能技术生成

知识点:

  后台验证1:登录用户逻辑安全

  后台验证2:Cookie&Session

  后台验证3:验证码&万能密码等

发送登录请求——账号和密码

接受账号密码

判断账号密码的准确性

正确——成功登录——跳转成功页面

失败——登录失败——重新登录

后台管理系统:有多个文件页面和功能页面,为了方便验证,一般会用Cookie或Session进行验证

Cookie:身份验证 存储到客户端浏览器

      Cookie安全:cookie修改 伪造 盗取

Session:身份验证 存储到服务端服务器

      Session安全:会话劫持

网页实现:

登录页面实现:

创建接受-登录验证

若成功则跳转到成功页面,失败则跳入失败页面:

设置Cookie值只针对user

但是就会出现Cookie修改伪造——代码逻辑问题(代码中只是判断cookie是否存在即可)

案例Xcms——白盒测试乱杀——Cookie修改伪造:

得知了其网站的代码逻辑

改变参数会直接访问登录成功的界面,通过bp抓包进行cookie伪造修改

登录成功

Cookie盗取:通过XSS进行拿取

Session验证:

直接访问,发现session与之前的登录成功的对方进行了一个加密通话,通过session,当登录成功的用户进行访问时,会建立起一个会话框,以session随机字符串来进行验证。

若要攻击,只能用户在访问的过程中(会话建立的过程中),进行劫持session

代码逻辑:

 万能密码:——SQL注入 or 1=1#

验证码功能开发:

但会出现验证码复用的情况:

若验证码不存在生存期,则可以进行爆破

若有验证码生存期,也可以使用一些插件

yiqiqukanhaiba
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用PHP会话(Session)实现用户登陆功能
01-20
对比起 CookieSession 是存储在服务器端的会话,相对安全,并且不像 Cookie 那样有存储长度限制,本文简单介绍 Session 的使用。由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件,PHP 自动修改 Session 文件的权限,只保留了系统读和写权限,而且不能通过 ftp 修改,所以安全得多。对于 Cookie 来说,假设我们要验证用户是否登陆,就必须在 Cookie 中保存用户名和密码(可能是 md5 加密后字符串),并在每次请求页面的时候进行验证。如果用户名和密码存储在数据库,每
PHP里的session技术(写个登录功能)
qq_37805832的博客
02-04 1272
1.设置session(写个session登录) <?php header('Content-Type:text/html;charset=utf-8'); session_start(); if(isset($_POST['submit'])) { if($_POST['username']=='cyg' || $_POST['username']=='cyg666' || $_POST['username']=='cyg777'){ $_SESSION['username']=$_POST[
PHP会话(Session)实现用户登陆功能
weixin_30341745的博客
01-12 172
对比起 CookieSession 是存储在服务器端的会话,相对安全,并且不像 Cookie 那样有存储长度限制,本文简单介绍 Session 的使用。 由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件,PHP 自动修改 Session 文件的权限,只保留了系统读和写权限,而且不能通过 ftp 修改,所以安...
phpsession登录功能实现,Express Session实现登录验证功能(附代码)
weixin_36039452的博客
03-17 206
这次给大家带来Express Session实现登录验证功能(附代码),Express Session实现登录验证功能的注意事项有哪些,下面就是实战案例,一起来看一下。对于使用Express和Session实现登录验证也是很多人在探求的,这次文章就给大家简单的介绍下怎么使用Express和Session实现登录验证,具体实现代码是什么?一起来了解下。1. 写在前面当我们登录了一个网站,在没有退出登...
user-session-synchronizer:Wordpress插件允许通过基于已验证的电子邮件同步用户数据和cookie会话来使用户从一个安装登录到另一个安装
05-09
使用户从一个wordpress登录到另一个wordpress描述通过用户会话同步器,您可以基于已验证的电子邮件同步用户数据和cookie会话,从而使用户从一个wordpress登录到另一个wordpress。 根据当前用户ip和同步的wordpress...
PHP+Ajax实现验证码的实时验证
10-21
在本例中,由于Nat123端口映射导致的跨域问题,作者选择使用session而不是cookie来存储验证码。 接下来,我们关注Ajax的核心部分。Ajax(Asynchronous JavaScript and XML)允许我们在不刷新整个页面的情况下与...
利用php实现一周之内自动登录存储机制(cookiesession、localStorage)
10-21
Cookie和LocalStorage中的信息用于客户端的自动登录,而Session则用于服务器端的身份验证。当用户再次访问网站时,服务器首先检查Session,如果没有找到有效Session,则检查Cookie和LocalStorage。如果找到有效的...
PHP编写登录验证码功能 附调用方法_.docx
10-09
在Web开发中,验证码是一种常用的安全机制,用于验证用户是否为真实的人而不是自动化脚本或机器人。PHP作为一种流行的服务器端脚本语言,可以方便地实现验证码功能。以下是一个简单的PHP登录验证码功能的实现,包括...
PHP项目开发全程实录- 博客管理系统(php源码)精心收集
05-02
PHP项目开发全程实录-博客管理系统】是一个深入学习PHP编程和构建实际Web应用的实践教程,涵盖了从设计、开发到测试和优化的全过程。在这个系统中,PHP被用来处理服务器端逻辑,创建动态网页,与数据库交互,实现...
PHP 实现超简单的SESSIONCOOKIE登录验证功能示例
10-15
主要介绍了PHP 实现超简单的SESSIONCOOKIE登录验证功能,结合实例形式详细分析了PHP使用cookiesession实现登录验证的相关操作步骤与注意事项,需要的朋友可以参考下
php通过session实现登录验证
weixin_33935777的博客
05-30 679
1、概述 这几天在做一个内部统计管理系统,所有内容需要登录后才能查看。这就需要系统内部每个模块都有登录验证的功能。在网上找了一圈资料,决定用session来做。 2、系统概况 后端语言php(用的是原生php,未引入框架) 前端样式:Bootstrap 主要功能:基本的管理员功能,普通用户需要通过管理员来统一管理。普通用户可以查看统计数据,管理员用户只能登入管理员中心管理用户。 3、sessio...
PHP学习13:登录SESSION)以及登出功能
qq_44139411的博客
04-05 2354
目录 一、登录功能 二、登出功能 一、登录功能 <?php session_start(); if(isset($_POST['username']) && isset($_POST['password'])){ $username=$_POST['username']; $password=$_POST['password']; $sql="SELECT * FROM user_form WH.
phpsession与免登陆问题
m0_37477061的博客
02-27 388
https://www.cnblogs.com/gauze/p/6670733.html
4.php开发-个人博客项目&登录验证&cookie&session&验证码安全
金灰的博客
01-22 1440
​。
CookieSession实现用户登录逻辑
yyhgo_的博客
01-03 3088
CookieSession实现用户登录逻辑
php用户登录 session用法,在 PHP 中使用和管理 Session实现简单的用户登录功能...
weixin_42517317的博客
03-24 1885
PHP 中使用和管理 Session实现简单的用户登录功能由 学院君 创建于9个月前, 最后更新于 7个月前版本号 #22051 views1 likes0 collectsSession vs. CookieCookie 一样,Session 技术也是用于解决 HTTP 协议无状态的问题,不过,与 Cookie 数据保存在客户端不同,Session 数据存储在服务端,然后通过分配一个...
PHPSESSION
weixin_30721899的博客
08-04 223
PHP开发中对比起Cookiesession 是存储在服务器端的会话,相对安全,并且不像 Cookie 那样有存储长度限制,本文简单介绍 session 的使用。 由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。实际上在服务器端的 Session 文件,PHP 自动修改 session 文件的权限,只保留了系统读和写权限,而且不...
加密与安全_三种方式实现基于国密非对称加密算法的加解密和签名验签
最新发布
小工匠
06-30 1017
无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。任何长度的数据生成的哈希值长度都固定。相同数据每次生成的哈希值相同,不同的数据则不同。数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。
PHPsessioncookie讲解笔记
12-28
为了解决这些问题,我们可以通过设置cookie的属性来增强其安全性,或者通过使用sessioncookie相结合的方式来综合利用它们的优点。 总结起来,本文详细介绍了PHP sessioncookie的概念、原理和用法。通过学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值