http://www.papou34.com

                                                                  【决胜时时彩注册】php如何实现session的管理-PHP问题

                                                                  会话模块无法保证你存储在会话中的信息只能被创建会话的用户本人可见。 你需要采取额外的手段来保护会话中的机密信息, 至于采取何种方式来保护机密信息, 取决于你在会话中存储的数据的机密程度。

                                                                  session_start — 启动新会话或者重用现有会话

                                                                  严格会话管理 (推荐学习:PHP编程从入门到精通)

                                                                  目前,默认情况下,PHP 是以自适应的方式来管理会话的, 这种方式使用起来很灵活,但是同样也带来了一定的风险。

                                                                  从 PHP 5.5.2 开始,新增加了一个配置项: session.use_strict_mode。 当启用这个配置项,并且你所用的会话存储处理器支持的话,未经初始化的会话 ID 会被拒绝, 并为其生成一个全新的会话,这可以避免攻击者使用一个已知的会话 ID 来进行攻击。

                                                                  例如,攻击者可以通过邮件给受害者发]送一个包含会话 ID 的链接: http://example.com/page.php?PHPSESSID=123456789。

                                                                  如果启用了 session.use_trans_sid 配置项, 那么受害者将会使用攻击者所提供的会话 ID 开始一个新的会话。 如果启用了 session.use_strict_mode 选项,就可以降低风险。

                                                                  Warning

                                                                  用户自定义的会话存储器也可以通过实现会话 ID 验证来支持严格会话模式。 建议用户在实现自己的会话存储器的时候, 一定要对会话 ID 的合法性进行验证。

                                                                  在浏览器一侧,可以为用来保存会话 ID 的 cookie 设置域,路径, 仅允许 HTTP 访问,必须使用 HTTPS 访问等安全属性。 如果使用的是 PHP 7.3. 版本,还可以对 cookie 设置 SameSite 属性。 攻击者可以利用浏览器的这些特性来设置永久可用的会话 ID。

                                                                  仅仅设置 session.use_only_cookies 配置项 无法解决这个问题。而 sessi,on.use_strict_mode 配置项 可以降低这种风险。设置 session.use_strict_mode=On, 来拒绝未经初始化的会话 ID。

                                                                  Note: 虽然使用 session.use_strict_mode 配置项 可以降低灵活会话管理方式所带来的风险, 攻击者还是通过利用 JavaScript 注入等手段, 强制用户使用由攻击者创建的并且经过了正常的初始化的会话 ID。

                                                                  如何降低这种风向,可以参考本手册的建议部分。 如果你已经启用了 session.use_strict_mode 配置项, 同时使用基于时间戳的会话管理, 并且通过设置 session_regenerate_id() 配置项 来重新生成会话 ID, 那么,攻击者生成的会话 ID 就可以被删除掉了。

                                                                  当发生对过期会话访问的时候, 你应该保存活跃会话的所(有数据, 以备后续分析使用。 然后让用户退出当前的会话,并且重新登录。 防止攻击者继续使用“偷”来的会话。

                                                                  Warning

                                                                  对过期会)话数据的访问并不总是意味着正在遭受攻击。 不稳定的网络状况,或者不正确的会话删除行为, 都会导致合法的用户产生访问过期会话数据的情况。

                                                                  郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

                                                                  上一篇:php记住密码怎么实现-PHP问题
                                                                  下一篇:没有了