所以我一直在阅读会议,我不得不说,我很困惑。 看来,会议是'破碎',可能是安全明智的,为什么他们没有执行更多的安全检查会议代码本身...PHP会话安全检查
无论如何,我的问题。我发现这个网站有很多会话安全检查:https://wblinks.com/notes/secure-session-management-tips/通读它,其中大部分对我而言是有意义的。然而,最令我困惑的是WHEN也称这些检查。
我会在每页面上调用这些检查吗?一方面这是有道理的,因为有人可以在每一页上劫持一个会话或其他的东西,对吗?另一方面,在每个页面上完成这些检查需要花费一些额外的时间,否则可能会增加加载时间?
在这一刻我有以下代码。
<?php
if ($_SESSION['_USER_LOOSE_IP'] != long2ip(ip2long($_SERVER['REMOTE_ADDR']) & ip2long("255.255.0.0"))
|| $_SESSION['_USER_AGENT'] != $_SERVER['HTTP_USER_AGENT']
|| $_SESSION['_USER_ACCEPT'] != $_SERVER['HTTP_ACCEPT']
|| $_SESSION['_USER_ACCEPT_ENCODING'] != $_SERVER['HTTP_ACCEPT_ENCODING']
|| $_SESSION['_USER_ACCEPT_LANG'] != $_SERVER['HTTP_ACCEPT_LANGUAGE']
|| $_SESSION['_USER_ACCEPT_CHARSET'] != $_SERVER['HTTP_ACCEPT_CHARSET']
|| !isset($_SESSION['MY_SERVER_GENERATED_THIS_SESSION'])) {
// Destroy and start a new session
sec_session_destroy(); // Destroy session on disk
sec_session_start();
// Log for attention of admin and re-authenticate user...
}
if ($_SESSION['SESSION_START_TIME'] < (strtotime("-1 hour")) || $_SESSION['_USER_LAST_ACTIVITY'] < (strtotime("-20 mins"))) {
sec_session_destroy();
//Expire session and re-authenticate user...
}
function sec_session_start() {
setcookie("sid", // Name
session_id(), // Value
strtotime("+1 hour"), // Expiry
"/", // Path
".serellyn.net", // Domain
true, // HTTPS Only
true); // HTTP Only
// Store these values into the session so I can check on subsequent requests.
$_SESSION['_USER_AGENT'] = $_SERVER['HTTP_USER_AGENT'];
$_SESSION['_USER_ACCEPT'] = $_SERVER['HTTP_ACCEPT'];
$_SESSION['_USER_ACCEPT_ENCODING'] = $_SERVER['HTTP_ACCEPT_ENCODING'];
$_SESSION['_USER_ACCEPT_LANG'] = $_SERVER['HTTP_ACCEPT_LANGUAGE'];
$_SESSION['_USER_ACCEPT_CHARSET'] = $_SERVER['HTTP_ACCEPT_CHARSET'];
$_SESSION['MY_SERVER_GENERATED_THIS_SESSION'] = true;
// Only use the first two blocks of the IP (loose IP check). Use a
// netmask of 255.255.0.0 to get the first two blocks only.
$_SESSION['_USER_LOOSE_IP'] = long2ip(ip2long($_SERVER['REMOTE_ADDR'])
& ip2long("255.255.0.0"));
$_SESSION['SESSION_START_TIME'] = time();
$_SESSION['_USER_LAST_ACTIVITY'] = time();
sec_session_start(); // Start the PHP session
}
function sec_session_destroy() {
session_unset();
session_destroy();
session_start();
session_regenerate_id(true);
}
我最后的问题是,上面的代码是否有意义,或者你有任何建议,使其更好或更少混淆。我应该在每个页面上还是仅包含几页?
在此先感谢
“看起来会话像'破坏'一样可能是安全明智的”嗯?这就好像在说“看起来汽车像'危险'一样可能是安全明智的” – PeeHaa
还要注意,以上大部分已经在正确设置会话并仅使用加密连接时处理完毕。 – PeeHaa
另请注意,ip检查将在ipv6地址上失败。 – PeeHaa