关于PHP的session登录的安全问题
第一种方法:一个标准的HTTP请求中除了host等头部必须信息,还可能包含一些可选的头部
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cache-Control:max-age=0
Connection:keep-alive
Cookie:CNZZDATA155540=cnzz_eid%3D1361932985-1429108221-%26ntime%3D1429194688; _ga=GA1.1.530260614.1432539843; PHPSESSID=774v47f1jfgjetofpfns9bcgd1
Host:192.168.199.121
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
user_agent这个使我们需要的信息,如果一个用户的浏览器发送这些数据到服务器,那么接下来同一个用户还是发送同样的数据到服务器中,如果两次发送的头部信息不一样,则可能判定这次请求来自攻击者,可以在系统中加入如下代码
<?phpsession_start();
if(md5($_SERVER['HTTP_USER_AGENT']) != $_SESSION['HTTP_USER_AGENT]){
echo '请求有问题';exit;
}
//在初始化的时候用md5加密保存user_agent信息
$_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
第二种方法,利用头信息生成一个token,在用户以后的请求中加入这个token
<?php
session_start();
$token = 'salt' . $_SERVER['HTTP_USER_AGENT'];
$_SESSION['token'] = md5($token);
-
日历
-
享受生活
-
存档
- 2025年3月(2)
- 2024年9月(1)
- 2022年10月(1)
- 2021年5月(1)
- 2019年4月(2)
- 2018年3月(1)
- 2018年1月(1)
- 2017年12月(2)
- 2017年11月(3)
- 2017年7月(2)
- 2017年5月(1)
- 2017年4月(4)
- 2017年3月(2)
- 2017年1月(3)
- 2016年11月(1)
- 2016年10月(1)
- 2016年7月(1)
- 2016年6月(1)
- 2016年5月(2)
- 2016年4月(3)
- 2016年3月(2)
- 2016年1月(2)
- 2015年8月(2)
- 2015年7月(4)
- 2014年9月(1)
- 2014年5月(2)
- 2014年1月(1)
- 2013年12月(2)
- 2013年6月(1)
- 2013年3月(1)
- 2013年2月(1)
- 2013年1月(42)
- 2012年12月(22)
- 2012年11月(1)
- 2012年10月(1)
- 2012年9月(1)
- 2012年8月(2)
- 2012年7月(1)
- 2012年6月(1)
- 2012年5月(1)
- 2012年4月(1)
- 2012年3月(2)
- 2012年2月(1)
-
搜索
一只风筝 
嗨 
晨曦 
谭溢辉