php用户登录之cookie信息安全分析


Posted in PHP onMay 13, 2016

本文实例讲述了php用户登录之cookie信息安全。分享给大家供大家参考,具体如下:

大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。

下面就说说平常一些防止用户登录cookie信息安全的方法:

一、cookie信息加密法

cookie信息加密法即用一种加密方法,加密用户信息,然后在存入cookie,这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用,无法另外伪造cookie信息。

这里附上一个加密函数:

<?php
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
  // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
  $ckey_length = 4;
  // 密匙
  $key = md5($key ? $key : $GLOBALS['discuz_auth_key']);
  // 密匙a会参与加解密
  $keya = md5(substr($key, 0, 16));
  // 密匙b会用来做数据完整性验证
  $keyb = md5(substr($key, 16, 16));
  // 密匙c用于变化生成的密文
  $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length):
substr(md5(microtime()), -$ckey_length)) : '';
  // 参与运算的密匙
  $cryptkey = $keya.md5($keya.$keyc);
  $key_length = strlen($cryptkey);
  // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),
//解密时会通过这个密匙验证数据完整性
  // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
  $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) :
sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
  $string_length = strlen($string);
  $result = '';
  $box = range(0, 255);
  $rndkey = array();
  // 产生密匙簿
  for($i = 0; $i <= 255; $i++) {
    $rndkey[$i] = ord($cryptkey[$i % $key_length]);
  }
  // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上对并不会增加密文的强度
  for($j = $i = 0; $i < 256; $i++) {
    $j = ($j + $box[$i] + $rndkey[$i]) % 256;
    $tmp = $box[$i];
    $box[$i] = $box[$j];
    $box[$j] = $tmp;
  }
  // 核心加解密部分
  for($a = $j = $i = 0; $i < $string_length; $i++) {
    $a = ($a + 1) % 256;
    $j = ($j + $box[$a]) % 256;
    $tmp = $box[$a];
    $box[$a] = $box[$j];
    $box[$j] = $tmp;
    // 从密匙簿得出密匙进行异或,再转成字符
    $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
  }
  if($operation == 'DECODE') {
    // 验证数据有效性,请看未加密明文的格式
    if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() --> 0) &&
substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
      return substr($result, 26);
    } else {
      return '';
    }
  } else {
    // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
    // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
    return $keyc.str_replace('=', '', base64_encode($result));
  }
}
$str = 'abcdef';
$key = '3water.com';
echo $jm = authcode($str,'ENCODE',$key,0); //加密
echo "
";
echo authcode($jm ,'DECODE',$key,0); //解密
?>

这样当设置用户信息的cookie时,就无法对其进行伪造:

<?php
$user = array("uid"=-->$uid,"username"=>$username);
$user = base64_encode(serialize($user));
$user = authcode($user,'ENCODE','3water.com',0); //加密
setcookie("user",$user,time()+3600*24);
?>

二、用加密令牌对cookie进行保护

$hash = md5($uid.time());//加密令牌值
$hash_expire =time()+3600*24;//加密令牌值为一天有效期
$user = array("uid"=>$uid,"username"=>$username,"hash"=>$hash);
$user = base64_encode(serialize($user));
setcookie("user",$user,$hash_expr);

然后把$hash和$hash_expire 存入member表中hash和hash_expire对应字段中,也可以存入nosql,session

用户伪造cookie时,hash无法伪造,伪造的hash和数据库中的不一致

用户每次登陆,这个hash_expire有效期内不更新hash值,过期则更新

希望本文所述对大家PHP程序设计有所帮助。

PHP 相关文章推荐
PHP中HTTP方式下的Gzip压缩传输方法举偶
Feb 15 PHP
php学习 字符串课件
Jun 15 PHP
php递归列出所有文件和目录的代码
Sep 10 PHP
PHP支持多种格式图片上传(支持jpg、png、gif)
Nov 03 PHP
win7下memCache的安装过程(具体操作步骤)
Jun 28 PHP
php多功能图片处理类分享(php图片缩放类)
Mar 14 PHP
codeigniter框架The URI you submitted has disallowed characters错误解决方法
May 06 PHP
初识php MVC
Sep 10 PHP
php版微信返回用户text输入的方法
Nov 14 PHP
PHP 用session与gd库实现简单验证码生成与验证的类方法
Nov 15 PHP
Yii2实现中国省市区三级联动实例
Feb 08 PHP
解决Laravel blade模板转义html标签的问题
Sep 03 PHP
PHP数组函数知识汇总
May 12 #PHP
使用phpexcel类实现excel导入mysql数据库功能(实例代码)
May 12 #PHP
php similar_text()函数的定义和用法
May 12 #PHP
php使用curl并发减少后端访问时间的方法分析
May 12 #PHP
php反射类ReflectionClass用法分析
May 12 #PHP
PHP 的比较运算与逻辑运算详解
May 12 #PHP
php使用文本统计访问量的方法
May 12 #PHP
You might like
PHP 日常开发小技巧
2009/09/23 PHP
PHP中文分词 自动获取关键词介绍
2012/11/13 PHP
PHP用strstr()函数阻止垃圾评论(通过判断a标记)
2013/09/28 PHP
php获取系统变量方法小结
2015/05/29 PHP
PHP的mysqli_select_db()函数讲解
2019/01/23 PHP
javascript中的对象和数组的应用技巧
2007/01/07 Javascript
jQuery中使用data()方法读取HTML5自定义属性data-*实例
2014/04/11 Javascript
PHP开发者必须掌握的6个关键字
2014/04/14 Javascript
js检测输入内容全为空格的方法
2014/05/03 Javascript
jQuery同步提交示例代码
2015/12/12 Javascript
jQuery+Ajax实现无刷新操作
2016/01/04 Javascript
jQuery unbind 删除绑定事件详解
2016/05/24 Javascript
微信小程序 wxapp内容组件 text详细介绍
2016/10/31 Javascript
JS中from 表单序列化提交的代码
2017/01/20 Javascript
关于使用axios的一些心得技巧分享
2017/07/02 Javascript
Vue + better-scroll 实现移动端字母索引导航功能
2018/05/07 Javascript
three.js实现炫酷的全景3D重力感应
2018/12/30 Javascript
浅谈vue中document.getElementById()拿到的是原值的问题
2020/07/26 Javascript
JS实现简易图片自动轮播
2020/10/16 Javascript
nodejs使用Sequelize框架操作数据库的实现
2020/10/21 NodeJs
Python解惑之True和False详解
2017/04/24 Python
python利用urllib实现爬取京东网站商品图片的爬虫实例
2017/08/24 Python
python实现简单的购物程序代码实例
2020/03/03 Python
工程师必须了解的LRU缓存淘汰算法以及python实现过程
2020/10/15 Python
美国最大的珠宝商之一:Littman Jewelers
2016/11/13 全球购物
美国最大的骑马用品零售商:HorseLoverZ
2017/01/12 全球购物
2014端午节活动策划方案
2014/01/27 职场文书
工程师岗位职责规定
2014/02/26 职场文书
公司离职证明标准格式
2014/11/18 职场文书
年底个人总结范文
2015/03/10 职场文书
留学推荐信怎么写
2015/03/26 职场文书
董事长秘书工作总结
2015/08/14 职场文书
中学校园广播稿
2015/08/18 职场文书
礼仪培训心得体会
2016/01/22 职场文书
2019关于垃圾分类处理的调查报告
2019/12/26 职场文书
关于vue中如何监听数组变化
2021/04/28 Vue.js