这是我的PHP代码。
<?php
$username = "admin";
$password = "admin";
$session = $_COOKIE['session'];
$private_key = "!$//%$$//%$&=§$!&%&=§$!&%";
if(isset($_POST['login'])) {
if($_POST['username'] == $username && $_POST['password'] == $password) {
setcookie("username", $username, time()+(10*365*24*60*60));
setcookie("session", md5($password.$private_key), time()+(10*365*24*60*60));
echo "You are are logged in!";
} else {
echo "Wrong login!";
}
}
if(isset($_COOKIE['session'])) {
if($_COOKIE['username'] == $username && $_COOKIE['session'] == md5($password.$private_key)) {
echo "You are are logged in!";
} else {
echo "Wrong login!";
}
}
?>
<form method="post" action="">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" name="login">
</form>
此代码的作用:使用正确的数据登录时,将使用用户名和哈希密码设置cookie。用户名不是秘密,可以以明文形式存储。密码在进行哈希运算之前先与一个神秘的字符串组合在一起,以防止有人猜出该密码。不知道$private_key,他就不会成功。
重新访问该页面时,您已经由于Cookie而登录。
我的脚本当然不是完美的,但是:正确的方法吗?
没有正确的登录数据,您将无法登录。黑客也将无法找到密码,因为它与一个神秘的字符串结合在一起了。
但是,黑客可以通过某种方式读取Cookie数据,并且只能通过在浏览器中操作Cookie数据来使用Cookie数据登录。我该如何预防?
答案 0 :(得分:6)
如果您要实现“在这台计算机上记住我”功能(在会话顶部也称为持久身份验证),那么您将要进入一个名副其实的复杂性漏洞。我建议阅读this dedicated guide的主题。
总结该策略:请勿将密码存储在cookie中(哈希或其他方式)。相反,您将使用随机生成的令牌。具体来说,是split token。
<?php
class Authentication
{
/** @var PDO $db */
private $db;
public function __construct(PDO $pdo)
{
$this->db = $pdo;
}
public function createLongTermToken(int $userId = 0): string
{
// Build the components
$tokenLeft = base64_encode(random_bytes(15));
$tokenRight = base64_encode(random_bytes(33));
$tokenRightHashed = hash('sha256', $tokenRight);
// Insert into the database
$stmt = $this->db->prepare(
"INSERT INTO auth_tokens (user_id, selector, hash) VALUES (?, ?, ?)"
);
$stmt->execute([$userId, $tokenLeft, $tokenRightHashed]);
return $tokenLeft . ':' . $tokenRight;
}
public function loginWithPersistentCookie(string $cookieValue): int
{
// Input validation
if (strpos(':', $cookieValue) === false) {
throw new Exception('Invalid authentication token');
}
list($tokenLeft, $tokenRight) = explode(':', $cookieValue);
if (strlen($tokenLeft) !== 20) || strlen($tokenRight) !== 44) {
throw new Exception('Invalid authentication token');
}
$tokenRightHashed = hash('sha256', $tokenRight);
// Fetch from database
$stmt = $this->db->prepare("SELECT * FROM auth_tokens WHERE selector = ?");
$stmt->execute([$tokenLeft]);
// Now our token data is stored in $row:
$row = $stmt->fetch(PDO::FETCH_ASSOC);
// Delete token after being retrieved
$stmt = $this->db->prepare("DELETE FROM auth_tokens WHERE selector = ?");
$stmt->execute([$tokenLeft]);
// Verify the right hand side, hashed, matches the stored value:
if (!hash_equals($row['hash'], $tokenRightHashed)) {
throw new Exception('Invalid authentication token');
}
return $row['user_id'];
}
}
用法:
// Post-authentication, before headers are sent:
$cookieValue = $auth->createLongTermToken($userId);
setcookie(
'long_term_auth',
$cookieValue,
time() + (86400 * 30), // 30 days
'',
'',
TRUE, // Only send cookie over HTTPS, never unencrypted HTTP
TRUE // Don't expose the cookie to JavaScript
);
页面加载:
if (!isset($_SESSION['user_id']) && isset($_COOKIE['long_term_auth'])) {
try {
$_SESSION['user_id'] = $auth->loginWithPersistentCookie($_COOKIE['long_term_auth']);
} catch (Exception $ex) {
// Security error! Handle appropriately (i.e. log the incident).
}
}
以上代码段假定$auth是示例Authentication类的实例。它还假设auth_tokens的基本表结构(user_id指向用户表,selector和hash是VARCHAR或TEXT字段,对{{1 }}。
selector来生成安全令牌。random_bytes()比较哈希值。hash_equals()而不是==来比较散列。另请参阅:magic hashes。此外,您将需要使用hash_equals()和password_hash()进行实际的用户身份验证步骤。这只是描述了“记住我”复选框便利功能的安全实现。
为了获得更好的安全性,您可能希望使用类似password_exposed和/或zxcvbn之类的东西,以防止使用弱密码/受损密码。
您的用户将希望使用诸如KeePassXC,1Password或LastPass之类的密码管理器为您的网站生成/存储他们的密码,因此他们最终不会使用{{1 }}。