Php 如何保护客户端会话ID?
是什么阻止某人登录到网站Z。进入保存有网站Z会话Id的cookie,摆弄它成为服务器识别的其他人?如果我们谈论php会话,答案是“没有人保护他们” 你必须为它做点什么,试着让它“更安全”Php 如何保护客户端会话ID?,php,session,Php,Session,是什么阻止某人登录到网站Z。进入保存有网站Z会话Id的cookie,摆弄它成为服务器识别的其他人?如果我们谈论php会话,答案是“没有人保护他们” 你必须为它做点什么,试着让它“更安全” 使用SSL进行身份验证 使会话id随时间过期 检查IP和用户代理(好的,可以绕过) 等等…如果我们谈论php会话,答案是“没有人保护它们” 你必须为它做点什么,试着让它“更安全” 使用SSL进行身份验证 使会话id随时间过期 检查IP和用户代理(好的,可以绕过) 等等 是什么阻止某人登录到web站点Z。
- 使用SSL进行身份验证
- 使会话id随时间过期
- 检查IP和用户代理(好的,可以绕过)
等等…如果我们谈论php会话,答案是“没有人保护它们” 你必须为它做点什么,试着让它“更安全”
- 使用SSL进行身份验证
- 使会话id随时间过期
- 检查IP和用户代理(好的,可以绕过)
您必须知道另一个会话ID才能执行此操作。会话ID非常长且随机,因此您无法猜测其他用户的ID。除了会话ID的长度和基数之外,什么都没有。如果它相当长,那么在发现碰撞之前需要进行万亿次(或更多)的尝试。较长的ID将可能的ID数乘以哈希的基数,因此如果哈希包含数字和小写字母,则每个额外字符将可能的ID数乘以36
20个字符的散列将为您提供36^20种不同的可能性。如果将id的长度增加一倍,则会得到36^40种不同的可能性。使任何人都更难强行进入另一个帐户。除了会话ID的长度和基数之外,什么都没有。如果它相当长,那么在发现碰撞之前需要进行万亿次(或更多)的尝试。较长的ID将可能的ID数乘以哈希的基数,因此如果哈希包含数字和小写字母,则每个额外字符将可能的ID数乘以36 20个字符的散列将为您提供36^20种不同的可能性。如果将id的长度增加一倍,则会得到36^40种不同的可能性。使任何人都更难强行进入另一个帐户。在某些情况下(CodeIgniter框架),您可以加密您的cookie,这使得此攻击更加困难 最终,作为开发人员,你要对安全负责,没有什么是现成的,这只是遵循适当的安全指南来开发安全应用程序的问题。在某些情况下(CodeIgniter framework),你可以加密你的cookie,这使得这种攻击更加困难
最终,作为开发人员,你要负责安全,没有什么是现成的,只是遵循适当的安全指南来开发安全的应用程序。你对会话id的安全性做出了响应,例如,对id和标识符进行哈希运算,以便由服务器控制每个请求。如果有人可以登录到你的服务器,您遇到的问题比会话保护更大。您在确保会话id安全方面做出了响应,例如,对id和要由服务器控制的标识符进行哈希运算。如果有人可以登录到您的服务器,则您遇到的问题比会话保护更大。PHP会话在存储标识符时使用的哈希是什么?有什么算法…我不是黑客..我只是想用同样的算法手动创建我自己的会话ID?@hiroprotation默认情况下它使用md5,但这在php.ini中是可配置的,并且有更好的哈希,你可以使用更好的哈希-你能在这里回答:php会话在存储标识符时使用什么哈希?有什么算法…我不是黑客..我只是想使用相同的算法手动创建我自己的会话ID?@HiroProtation默认情况下它使用md5,但这在php.ini中是可配置的,并且有更好的哈希,您可以使用更好的哈希-您能在这里回答: