使用 PHP 维护负责任的会话安全有哪些指导方针?网络上到处都是信息,现在是时候将它们全部放在一个地方了!
13 回答
为了确保您的会话安全,需要做几件事:
- 在对用户进行身份验证或执行敏感操作时使用 SSL。
- 每当安全级别更改(例如登录)时,重新生成会话 ID。如果您愿意,您甚至可以在每个请求中重新生成会话 ID。
- 让会话超时
- 不要使用寄存器全局变量
- 在服务器上存储身份验证详细信息。也就是说,不要在 cookie 中发送用户名等详细信息。
- 检查
$_SERVER['HTTP_USER_AGENT']
. 这为会话劫持增加了一个小障碍。您还可以检查 IP 地址。但这会导致由于多个 Internet 连接上的负载平衡等而更改 IP 地址的用户出现问题(在我们这里的环境中就是这种情况)。 - 锁定对文件系统上会话的访问或使用自定义会话处理
- 对于敏感操作,请考虑要求登录用户再次提供其身份验证详细信息
一个指导原则是每次会话的安全级别更改时调用session_regenerate_id 。这有助于防止会话劫持。
我认为主要问题之一(正在 PHP 6 中解决)是 register_globals。现在用来避免的标准方法之一register_globals
是使用$_REQUEST
,$_GET
或$_POST
数组。
做到这一点的“正确”方法(从 5.2 开始,虽然那里有点问题,但从 6 开始稳定,即将推出)是通过filters。
所以而不是:
$username = $_POST["username"];
你会这样做:
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
甚至只是:
$username = filter_input(INPUT_POST, 'username');
我的两(或更多)美分:
- 不相信任何人
- 过滤输入、转义输出(cookie、会话数据也是您的输入)
- 避免 XSS(保持你的 HTML 格式正确,看看PHPTAL或HTMLPurifier)
- 纵深防御
- 不公开数据
关于这个主题有一本很小但很好的书:Chris Shiflett 的 Essential PHP Security。
基本 PHP 安全 http://shiflett.org/images/essential-php-security-small.png
在本书的主页上,您会找到一些有趣的代码示例和示例章节。
您可以使用上述技术(IP 和 UserAgent),如下所述:如何避免身份盗用
这篇会话固定论文有很好的指示可能会发生攻击。另请参阅Wikipedia 上的会话固定页面。
根据我的经验,使用 IP 地址并不是最好的主意。例如; 我的办公室有两个根据负载使用的 IP 地址,我们经常遇到使用 IP 地址的问题。
相反,我选择将会话存储在我服务器上域的单独数据库中。这样文件系统上的任何人都无法访问该会话信息。这对 3.0 之前的 phpBB 非常有帮助(他们已经修复了这个问题),但我认为这仍然是一个好主意。
这非常简单明了,但请确保在每次使用后进行session_destroy 。如果用户没有明确注销,这可能很难实现,因此可以设置一个计时器来执行此操作。
这是关于 setTimer() 和 clearTimer()的一个很好的教程。
PHP 会话和安全性(除了会话劫持)的主要问题在于您所处的环境。默认情况下,PHP 将会话数据存储在操作系统临时目录中的文件中。没有任何特别的想法或计划,这是一个世界可读的目录,因此您的所有会话信息对任何有权访问服务器的人都是公开的。
至于在多个服务器上维护会话。那时最好将 PHP 切换到用户处理的会话,它会调用您提供的函数来 CRUD(创建、读取、更新、删除)会话数据。此时,您可以将会话信息存储在数据库或类似 memcache 的解决方案中,以便所有应用程序服务器都可以访问数据。
如果您在共享服务器上,存储您自己的会话也可能是有利的,因为它可以让您将其存储在数据库中,您通常比文件系统拥有更多的控制权。
我像这样设置我的会话-
在登录页面上:
$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR']);
(配置页面上定义的短语)
然后在整个站点其余部分的标题上:
session_start();
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR'])) {
session_destroy();
header('Location: http://website login page/');
exit();
}
php.ini
session.cookie_httponly = 1
change session name from default PHPSESSID
eq Apache 添加标头:
X-XSS-Protection 1
我会检查 IP 和用户代理,看看它们是否改变
if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']
|| $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
//Something fishy is going on here?
}
如果您使用session_set_save_handler()您可以设置自己的会话处理程序。例如,您可以将会话存储在数据库中。有关数据库会话处理程序的示例,请参阅 php.net 注释。
如果您有多个服务器,数据库会话也很好,否则如果您使用基于文件的会话,则需要确保每个网络服务器都可以访问相同的文件系统来读取/写入会话。
您需要确保会话数据是安全的。通过查看您的 php.ini 或使用 phpinfo() 您可以找到会话设置。_session.save_path_ 告诉您它们的保存位置。
检查文件夹及其父级的权限。它不应该是公开的 (/tmp) 或可供共享服务器上的其他网站访问。
假设您仍然想使用 php session,您可以通过更改 _session.save_path_ 将 php 设置为使用其他文件夹,或者通过更改 _session.save_handler_ 将数据保存在数据库中。
您也许可以在您的 php.ini 中设置 _session.save_path_ (一些提供商允许这样做),或者对于 apache + mod_php,在您的站点根文件夹中的 .htaccess 文件中设置:
php_value session.save_path "/home/example.com/html/session"
. 您也可以在运行时使用 _session_save_path()_ 设置它。
检查Chris Shiflett 的教程或Zend_Session_SaveHandler_DbTable以设置和替代会话处理程序。