微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > 后端开发 > php教程 > 正文

PHP Session 保险

php中文网
发布: 2016-06-13 13:24:43
原创
996人浏览过

PHP Session 安全
在stackoverflow上看到关于 php Session 安全的讨论,特记录之。(http://stackoverflow.com/questions/328/php-session-security)


1.使用SSL


2.重设session_id

引用
PHP中可以:session_regenerate_id(true);


3.设置session有效时间

可以参考鸟哥的文章:http://www.laruence.com/2012/01/10/2469.html


4.不是全局变量


5.存储信息在服务器上,不发送重要信息到cookie上


6.检查用户user_agent和IP
引用

PHP 使用:if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']

    || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR']) {

    //Something fishy is going on here?

}


7.设置 httpOnly 避免 Session 攻击

参考:http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html


8.Lock down access to the sessions on the file system or use custom session handling
引用
可是自定义session session_set_save_handler()
将session存储在DB, memcached等

9.For sensitive operations consider requiring logged in users to provide their authenication details again

相关标签:
session php

大家都在看:

PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载
来源:php中文网
收藏 点赞
上一篇: 小弟我下传不了文件 下一篇: 怎么查找php网页下的漏洞
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
如何下载php图片文件_下载php图像处理相关文件的方法 根据需求选择方法:启用GD或Imagick扩展处理图像,使用Composer安装InterventionImage等库,或用file_get_contents下载网络图片并保存到本地。
2025-11-10 20:06:03
141
PHP怎么实现页面跳转_PHP实现页面跳转的几种常用方法 1、使用header()函数跳转,需在无输出前调用并加exit;2、通过JavaScript的window.location.href实现客户端跳转,适用于已有输出;3、利用meta标签的http-equiv="refresh"属性进行HTML级跳转,兼容性好;4、采用隐藏表单结合JavaScript自动提交,适合传递数据的POST跳转场景。
2025-11-10 20:05:04
329
PHP中的魔术常量有哪些_PHP常用魔术常量__FILE__与__DIR__介绍 PHP魔术常量根据上下文自动变化,__FILE__返回当前文件绝对路径,适用于日志与资源加载;__DIR__返回文件所在目录,比dirname(__FILE__)更高效;__FUNCTION__返回函数名,__METHOD__返回“类名::方法名”;__LINE__获取行号,__CLASS__返回类名,常用于异常定位;__NAMESPACE__返回命名空间名,__TRAIT__返回trait全名,均用于现代PHP结构管理。
2025-11-10 20:02:02
159
怎么用php遍历文件夹_PHP文件夹遍历与文件操作方法教程 UseRecursiveDirectoryIteratorwithRecursiveIteratorIteratorforclean,recursivetraversal.2.Applyscandir()withrecursionforfullcontroloverfiltering.3.Utilizeglob()withpatternstomatchandfilterfilesduringscan.4.Employgeneratorstominimizememoryusageinlargedi
2025-11-10 19:53:36
999
PHP怎么在表单提交后跳转_PHP在表单提交后跳转页面的技巧 首先使用header函数跳转,需在无输出时调用并配合exit;其次可用JavaScript输出跳转,适用于已有内容输出;最后可通过meta标签设置延迟跳转,适合提示用户后跳转场景。
2025-11-10 19:51:02
321
如何用PHP调用邮件队列服务接口_PHP邮件队列服务接口调用与异步发送教程 选择邮件队列服务如SendCloud,通过PHP的cURL构造HTTP请求调用API接口发送邮件,为避免阻塞主流程,可结合消息队列、定时脚本或fastcgi_finish_request实现异步处理,并配合数据库记录任务状态与重试机制,提升网站性能与邮件送达率。
2025-11-10 19:35:15
283
php代码移动端适配代码怎么优化_php代码响应式设计优化与移动端性能提升方法 PHP虽不直接控制布局,但可通过设备检测、资源压缩、图片适配、缓存机制、meta标签输出和延迟加载等手段优化移动端体验,提升响应式性能。
2025-11-10 19:31:03
594
php源码如何合并_php多个源码文件合并与冲突解决方法 首先明确合并目标并规划目录结构,接着使用Git或IDE工具辅助合并,处理函数类名冲突及依赖顺序问题,最后通过测试验证功能完整性。
2025-11-10 19:24:02
645
php程序怎么部署到ubuntu服务器_php程序ubuntu服务器部署流程与配置教程 部署PHP程序到Ubuntu服务器需先配置环境,推荐使用LAMP或LNMP组合。1.更新系统:sudoaptupdate&&sudoaptupgrade-y。2.安装LAMP(Apache+MySQL+PHP)或LNMP(Nginx+PHP-FPM+MySQL),启用并启动服务。3.配置MySQL:创建数据库与用户,授权访问。4.上传项目代码至/var/www/html/,设置权限:sudochown-Rwww-data:www-data/var/www/html/和chmod-R755。5.配
2025-11-10 19:22:03
245
如何设置php网站图片水印_图片自动加水印与版权保护配置方法 使用PHPGD库可为图片添加文字或Logo水印,通过imagecreatefromjpeg、imagettftext、imagecopymerge等函数实现;2.在用户上传图片时调用水印函数自动处理,可选择覆盖原图或生成副本;3.ImageMagick扩展支持更复杂的水印效果,如旋转、阴影和多层合成;4.高并发场景下可通过Nginx+Lua在服务器层级动态加水印,提升性能并减轻PHP负担。
2025-11-10 19:12:02
165
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部