PHP会话安全

Translate

用PHP维护负责的会话安全性有哪些准则?网络上遍布着信息,现在是时候将它们全部集中在一个地方了!

This question and all comments follow the "Attribution Required."

所有的回答

Translate

为了确保会话安全,需要做几件事:

  1. 对用户进行身份验证或执行敏感操作时,请使用SSL。
  2. 只要安全级别发生更改(例如登录),就重新生成会话ID。如果愿意,您甚至可以为每个请求重新生成会话ID。
  3. 会话超时
  4. 不要使用全局寄存器
  5. 将身份验证详细信息存储在服务器上。也就是说,请勿在Cookie中发送诸如用户名之类的详细信息。
  6. 检查$_SERVER['HTTP_USER_AGENT']。这为会话劫持增加了一个小障碍。您也可以检查IP地址。但是,由于多个Internet连接等上的负载平衡,这会给具有更改IP地址的用户带来问题(在我们的环境中就是这种情况)。
  7. 锁定对文件系统上会话的访问或使用自定义会话处理
  8. 对于敏感操作,请考虑要求登录用户再次提供其身份验证详细信息
来源
Translate

一种准则是致电session_regenerate_id每次会话的安全级别更改时。这有助于防止会话劫持。

来源
Translate

我的两分(或更多分):

  • 不信任任何人
  • 过滤输入,转义输出(cookie,会话数据也是您的输入)
  • 避免使用XSS(保持HTML的格式正确,请看一下PHPTAL要么HTML净化器)
  • 纵深防御
  • 不公开数据

关于这一主题有一本很小但很好的书:Chris Shiflett的基本PHP安全性.

基本的PHP安全性http://shiflett.org/images/essential-php-security-small.png

在本书的首页上,您会找到一些有趣的代码示例和示例章节。

您可以使用上述技术(IP和UserAgent),在此进行描述:如何避免身份盗用

来源
Translate

我认为主要问题之一(在PHP 6中已解决)是register_globals。现在,用于避免的标准方法之一register_globals是使用$_REQUEST, $_GET要么$_POST数组。

做到这一点的“正确”方法(从5.2开始,虽然那里有些小虫子,但是从6开始稳定,即将推出)过滤器.

所以代替:

$username = $_POST["username"];

你会做:

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

甚至只是:

$username = filter_input(INPUT_POST, 'username');
来源
Translate

本期会议论文有很好的指针可以攻击。也可以看看维基百科上的会话固定页面.

来源
Translate

根据我的经验,使用IP地址并不是最好的主意。例如;我的办公室有两个IP地址会根据负载使用,我们在使用IP地址时经常遇到问题。

相反,我选择将会话存储在服务器上域的单独数据库中。这样,文件系统上的任何人都无法访问该会话信息。这对于3.0之前的phpBB确实很有帮助(它们已经修复了此问题),但是我认为这仍然是一个好主意。

来源
Translate

这是非常琐碎且显而易见的,但请务必session_destroy每次使用后。如果用户未明确注销,则可能难以实现,因此可以设置一个计时器来执行此操作。

这是一个很好的教程在setTimer()和clearTimer()上。

来源
Translate

PHP会话和安全性的主要问题(会话劫持除外)与您所处的环境有关。默认情况下,PHP将会话数据存储在OS的temp目录中的文件中。无需任何特殊考虑或计划,这是一个世界可读的目录,因此您的所有会话信息对有权访问服务器的任何人都是公开的。

至于在多台服务器上维护会话。到那时,最好将PHP切换到用户处理的会话,在该会话中它将调用您提供的函数以CRUD(创建,读取,更新,删除)会话数据。届时,您可以将会话信息存储在数据库或类似内存缓存的解决方案中,以便所有应用程序服务器都可以访问数据。

如果您在共享服务器上,则存储自己的会话也可能是有利的,因为它将使您将其存储在数据库中,而数据库通常比文件系统具有更多的控制权。

来源
Translate

我像这样设置会话

在登录页面上:

$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR']);

(短语在配置页面上定义)

然后在网站其余部分的标题上:

session_start();
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR'])) {       
    session_destroy();
    header('Location: http://website login page/');
    exit();     
}
来源
Translate

php.ini

session.cookie_httponly = 1
change session name from default PHPSESSID

eq Apache添加标头:

X-XSS-Protection    1
来源
Translate

我将同时检查IP和用户代理,以查看它们是否发生了变化

if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
    //Something fishy is going on here?
}
来源
Translate

如果您使用session_set_save_handler()您可以设置自己的会话处理程序。例如,您可以将会话存储在数据库中。有关数据库会话处理程序的示例,请参考php.net注释。

如果您有多个服务器,则DB会话也很好,否则,如果您正在使用基于文件的会话,则需要确保每个Web服务器都可以访问同一文件系统以读取/写入会话。

来源
Translate

您需要确保会话数据是安全的。通过查看您的php.ini或使用phpinfo(),您可以找到会话设置。 _session.save_path_告诉您它们的保存位置。

检查文件夹及其父文件夹的权限。它不应该是公共(/ tmp)或共享服务器上的其他网站可以访问的。

假设您仍然想使用php会话,则可以通过更改_session.save_path_来将php设置为使用其他文件夹,或者通过更改_session.save_handler_来将数据保存在数据库中。

您可以在站点根文件夹的.htaccess文件中的php.ini中(某些提供程序允许)或apache + mod_php中设置_session.save_path_:php_value session.save_path "/home/example.com/html/session"。您还可以在运行时使用_session_save_path()_进行设置。

检查一下克里斯·希弗莱特(Chris Shiflett)的教程要么Zend_Session_SaveHandler_DbTable设置和替代会话处理程序。

来源