PHP session会话的安全性分析


Posted in PHP onSeptember 08, 2011

从而达到方便快捷的目的,但是它在存储信息的时候往往会有一些敏感的东西,这些东西可能成为被攻击的目标,如银行的账号、信用卡事务或档案记录等。这就要求在编写代码的时候必须采取安全措施来减少攻击成功的可能性。

主要的安全措施有以下两个方面。

1、防止攻击者获取用户的会话ID。

获取会话ID的方式很多,攻击者可以通过查看明文通信来获取,所以把会话ID放在URL中或者放在通过未加密连接传输的Cookie中是很危险的;还有在URL中(作为_get()参数)传递会话ID也是不安全的,因为浏览器历史缓存中会存储URL,这样就很容易被读取。(可以考虑使用ssh进行加密传输)

还有一种更为隐蔽的攻击手段,攻击者通过一个被脚本攻击突破的Web站点,把被突破的这个站点上的用户重新定向到另一个站点,然后在重新定向的站点的URL中插入以下代码:
?PHPSESSID=213456465412312365465412312;

最后发送到Web应用程序。当用户查看Web应用程序时,PHP会发现没有与这个会话ID相关联的数据并且会创建一些数据。用户不知道发生了什么,但攻击者却知道了会话ID,就可以利用这个会话ID进入应用程序。

要防止这种攻击,有两种方法。
(1)检查php.ini中是否打开了session.use_only_cookie。如果是这种情况,PHP会拒绝基于URL的会话ID。
(2)当启动会话时,在会话数据中放一个变量,这个变量表示会话是用户创建的;如果发现会话数据中没有这个变量,那就说明会话ID是假的,就可以调用session_regenerate_id函数,给现有会话分配一个新的会话ID。

示例:

通过判断变量是否存在来确定会话ID的真假,如果存在,则说明会话ID是真的,否则是假的,并使用session_regenerate_id()函数对会话ID进行更改,重新给会话创建一个新的会话ID,

代码如下:

< ?php 
session_start () ; 
if (!isset ( $_SESSION['shili1'] )) { //判断shili1变量是否配置 
$old_id = session_id () ; //原来的会话ID的变量名 
session_regenerate_id () ; //获取一个新的会话ID 
$new_id = session_id () ; //新的会话ID的变量名 
echo "old : $old_id<br/>" ; //输出原来的会话ID 
echo "new : $new_id<br/>" ; //输出新的会话ID 
$_SESSION['shili1'] = TRUE ; } 
?>

运行结果如图所示:
PHP session会话的安全性分析
这只是一个示例,输出会话ID是为了更好的理解和应用这个函数,而在程序设计中是不需要输出会话ID的。

2、限制攻击者获取会话ID。

限制攻击者获取会话ID的方法如下。
(1)使用一个函数(md5)计算User-Agent头加上某些附加字符串数据后的散列值(hash)。(散列函数(hash function)接受一个任意大的数据集,并且将它转换为一个看起来完全不同的数据,这个数据很短。产生的散列值是完全不可重现的,也不可能由另一个输入产生。)

在User-Agent字符串后面添加一些数据,攻击者就无法通过对常见的代理值计算md5编码来试探User-Agent字符串。

(2)将这个经过编码的字符串保存在用户的会话数据中。
(3)每次从这个用户接收到请求时,检查这个散列值。

此方案的代码如下:

<?php 
define ( ‘ua_seed','webapp' ) ; 
session_start () ; 
if ( !isset($_SESSION['user_agent'] )){ 
$_SESSION['user_agent'] = md5 ( $_SERVER['HTTP_USER_AGENT'].ua_seed ); 
}else{ 
if ($_SESSION['user_agent'] != md5($_SERVER['HTTP_USER_AGENT'].ua_seed)){} } 
?>

通过给攻击者制造一些麻烦,使攻击者即使获取了会话ID,也无法进行破坏,能够减少对系统造成的损失。
PHP 相关文章推荐
php修改时间格式的代码
May 29 PHP
php设计模式之观察者模式的应用详解
May 21 PHP
php计算几分钟前、几小时前、几天前的几个函数、类分享
Apr 09 PHP
php生成唯一的订单函数分享
Feb 02 PHP
PHP中实现Bloom Filter算法
Mar 30 PHP
php实现二进制和文本相互转换的方法
Apr 18 PHP
你应该知道PHP浮点数知识
May 13 PHP
ThinkPHP进程计数类Process用法实例详解
Sep 25 PHP
详解WordPress中创建和添加过滤器的相关PHP函数
Dec 29 PHP
THINKPHP在添加数据的时候获取主键id的值方法
Apr 03 PHP
ThinkPHP 模板引擎使用详解
May 07 PHP
如何解决PHP获取不到SESSION信息之一般情况
Oct 10 PHP
php中实现简单的ACL 完结篇
Sep 07 #PHP
php将时间差转换为字符串提示
Sep 07 #PHP
php 中英文语言转换类
Sep 07 #PHP
php继承的一个应用
Sep 06 #PHP
php 抽象类的简单应用
Sep 06 #PHP
PHP中PDO基础教程 入门级
Sep 04 #PHP
PHP中PDO的错误处理
Sep 04 #PHP
You might like
PHP中echo和print的区别
2014/08/28 PHP
PHP程序员常见的40个陋习,你中了几个?
2014/11/20 PHP
PHP输出图像imagegif、imagejpeg与imagepng函数用法分析
2016/11/14 PHP
javascript 年月日联动实现核心代码
2009/12/21 Javascript
jQuery.validate 常用方法及需要注意的问题
2013/03/20 Javascript
JQuery 操作/获取table具体代码
2013/06/13 Javascript
jquery ajax中使用jsonp的限制解决方法
2013/11/22 Javascript
Jquery遍历节点的方法小集
2014/01/22 Javascript
JS案例分享之金额小写转大写
2014/05/15 Javascript
js实现仿爱微网两级导航菜单效果代码
2015/08/31 Javascript
jQuery on()绑定动态元素出现的问题小结
2016/02/19 Javascript
Angularjs中的页面访问权限怎么设置
2016/11/11 Javascript
vue实现消息的无缝滚动效果的示例代码
2017/12/05 Javascript
vue项目中axios使用详解
2018/02/07 Javascript
vue项目打包上传github并制作预览链接(pages)
2019/04/19 Javascript
json字符串对象转换代码实例
2019/09/28 Javascript
Vue2.0 实现页面缓存和不缓存的方式
2019/11/12 Javascript
js实现网页版贪吃蛇游戏
2020/02/22 Javascript
[00:15]天涯墨客终极技能展示
2018/08/25 DOTA
浅析Python基础-流程控制
2016/03/18 Python
Python实现购物车程序
2018/04/16 Python
python实现linux下抓包并存库功能
2018/07/18 Python
使用Python进行体育竞技分析(预测球队成绩)
2019/05/16 Python
python如何实现视频转代码视频
2019/06/17 Python
OpenCV 模板匹配
2019/07/10 Python
Python实现手机号自动判断男女性别(实例解析)
2019/12/22 Python
15款Python编辑器的优缺点,别再问我“选什么编辑器”啦
2020/10/19 Python
python3排序的实例方法
2020/10/20 Python
python中的列表和元组区别分析
2020/12/30 Python
python单例模式的应用场景实例讲解
2021/02/24 Python
化工专业大学生职业生涯规划书
2014/01/14 职场文书
学生打架检讨书
2014/02/14 职场文书
人事经理岗位职责范本
2014/08/04 职场文书
蓬莱阁导游词
2015/02/04 职场文书
《1942》观后感
2015/06/08 职场文书
2016年企业安全生产月活动总结
2016/04/06 职场文书