1

当用户登录我的网站时,我会在他的浏览器中添加一个加密的 cookie。当他回来时,我会检查各个方面,包括用户代理。

但似乎非常小的变化使这个检查过时了。下面的例子。用户登录时的第一个,用户稍后回来时的第二个:

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.62 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36

Opera/9.80 (Series 60; Opera Mini/7.1.32448/30.3793; U; tr) Presto/2.8.119 Version/11.10
Opera/9.80 (Series 60; Opera Mini/7.1.32448/31.1325; U; tr) Presto/2.8.119 Version/11.10

Opera/9.80 (Android; Opera Mini/7.5.33361/31.1312; U; tr) Presto/2.8.119 Version/11.10
Opera/9.80 (Android; Opera Mini/7.5.33361/31.1325; U; tr) Presto/2.8.119 Version/11.10

Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329
Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329 Twitter for iPhone

出于安全原因,我想继续检查用户代理。但我也不想拒绝用户进行这样的更改。

PHP服务器端的正确方法是什么?

(编辑:请注意,我用盐和一些随机变量加密 cookie 内容。所以很难猜测 cookie 的内容。但是任何窃取 cookie 的人都可以将自己表现为另一种用途。但窃取 cookie 是另一个问题。但是带有会话 id 的 cookie 也可能被盗,这是另一个问题)

4

2 回答 2

0

similart_text()是一个很好的解决方案。
参考: http: //php.net/manual/en/function.similar-text.php

例如这两个字符串的相似度是 %99

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko)
    Chrome/29.0.1547.62 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) 
    Chrome/29.0.1547.66 Safari/537.36
于 2013-09-06T20:25:01.323 回答
0

我只是要把这个扔在这里。用户代理是一种糟糕的安全措施。但是没有很多其他的选择。所以!要获取用户代理字符串...

$_SERVER['HTTP_USER_AGENT'];

现在,如果您加密并将其设置为 cookie,并且担心小的更改(只有在浏览器更改或更新时才会发生这种情况)。我建议剥离这些信息并使用操作系统、硬件和浏览器品牌等基本信息。有一些 PHP 库可以帮助促进这些字符串的解析。

如果你真的担心,你也可以用用户的 IP 地址来加盐。您可以通过以下方式获取IP...

$_SERVER['REMOTE_ADDR'];

但是请记住,这两个值都可以很容易地伪造并且不可信。

于 2013-09-04T18:07:27.190 回答