保护会话和cookie

时间:2015-10-11 05:57:45

标签: php security session cookies

关于保护会话和Cookie,我几乎没有问题。

  1. 关闭浏览器时,将删除作为服务器上临时文件的会话。我认为违反会议并非易事。此外,所有教授保护会话的教程和文档实际上都是关于保护cookie的,所以我可以假设当我们只使用在浏览器退出时过期的会话时,不需要任何特殊的会话保护方法。如果是,我们可以使用什么来保护会话?
  2. 使用自动登录功能时,确实需要注意Cookie。我们可以启用严格模式以获得额外的安全性,拒绝未初始化的会话。在自动登录未初始化的会话中不是cookie。
  3. 使用自动登录时,我想以一种简单的方式保护cookie,重新生成会话ID,然后使用sha512对其进行哈希处理,这会保护cookie吗?

1 个答案:

答案 0 :(得分:1)

  1. 阅读:The Fast Track to Safe and Secure PHP Sessions

    您可以通过多种方式存储会话数据:

    • 在文件中(PHP的默认行为)
    • 在数据库中(许多框架都这样做)
    • 在memcached(我做的)
    • 在cookie本身(通常是一个坏主意)

    除非您正在传输会话数据(即您的数据库在另一台服务器上,或者您的memcached在多台服务器上运行,并且您不确定它是否使用TLS在节点之间进行通信),您通常不需要对会话数据做任何事情。

  2. 自动登录实际上是一个复杂的主题,也是正常会话的一个独立问题。我之前写过关于secure "remember me" cookies

  3. 的文章
  4. 阅读#2中的链接。目前还不清楚你在这里描述的是什么,但这听起来有点可疑。