饼干的解剖

时间:2012-09-03 11:42:56

标签: php security cookies yii

我是饼干的新手。尝试了解用户登录时我的网站设置的此cookie的结构。我使用Yii在PHP中构建,我还在配置中启用了cookie验证。只是想确定它是否正常工作(设置了HMAC令牌)以及我是否对任何漏洞持开放态度。

  

dd3b7ffe10018a899b39986a9d94dfd3b64e7e4as:248: “05035a5ae619356a622ed6ed805b6695a4fd6c44a:4:{I 0,S:18:” mjkvj003@gmail.com “; I:1; S:18:” mjkvj003@gmail.com“; I:2;我:604800; I:3;一个:4:{S:6: “参数userid”; S:2: “10”; S:8: “用户名”,S:18: “mjkvj003@gmail.com”; S: 4: “类型”; S:10: “诊断”; S:6: “状态”; S:7: “待定”;}}“;

cookie名称本身是一个随机的32个字符的字母数字序列。我还有一个分别存储会话ID的phpsession cookie。这里mjkvj003@gmail.com是用户名,类型和状态是与应用程序相关的变量。 我认为Cookie使用=来分配值,但在这里我看到:正在使用。这是对的吗?

2 个答案:

答案 0 :(得分:3)

这不是cookie的内容。它是PHP $_SESSION内容的序列化表示,它是通过调用该数组上的serialize生成的。

Cookie本身只包含会话ID,这样PHP就可以知道哪些序列化的会话数据到unserialize并以$_SESSION的形式提供给您的脚本。

答案 1 :(得分:0)

第一行是Yii设置的HMAC令牌。挖掘框架文件,发现他们设置了令牌并序列化了cookie数据。