似乎外面的谣言是说php会话密钥不是那么安全。
在某些论坛上说 php 密钥只有 32 位,所以很容易被暴力破解。虽然我在其他地方(被遗忘的地方)看到说 php 使用 IP、时间创建、很多东西来创建 160 位会话密钥。
所以……我很困惑。是否可以使用本机会话密钥,因为我有点希望尽快运行我的网站,但是如果它如此脆弱,我需要一些时间来做更多的研究。
暴力破解等方式有多脆弱?
问问题
54 次
1 回答
2
PHP 会话 ID 是使用带有随机输入的 MD5 哈希创建的。MD5 是一个 16 字节的结果(或 32 个十六进制数字字符),或 128 位。不是 32 位。
如果您不喜欢默认自动生成会话 ID 的安全性,您可以:
- 配置session.hash_function改为使用 SHA-1,给你 160 位。
- 从加密随机源中自己创建一个会话 id,并通过调用来设置会话 id
session_id("your-random-value")。请注意,并非任何会话保存处理程序都允许使用每个字符,您可能会受到限制。
有了这些信息,我认为可以安全地得出 PHP 会话 ID 是安全的结论。
于 2013-07-28T12:27:55.183 回答