我的php配置文件用户和管理脚本的安全代码_Php_Security_Profiler

我的php配置文件用户和管理脚本的安全代码

php security

我的php配置文件用户和管理脚本的安全代码,php,security,profiler,Php,Security,Profiler,我使用表示用户\代理和用户\ ip的会话哈希代码我还使用session_set_cookie_参数在登录脚本中设置memory 我的安全状态如何？使用setcookie而不是在RememberMe中设置会话cookie参数不是更好吗？我应该使用哪些功能来提高安全性很抱歉，我的英语很差，正如评论中提到的，您的设置并不安全。关于安全性，有很多事情需要解释，但一个好的开始是要解释以下方面：会话劫持/固定 SQL注入 XSS（跨服务器脚本）暴力袭击一开始，一个好的初学者资源是签出。我认为

我使用表示用户\代理和用户\ ip的会话哈希代码

我还使用session_set_cookie_参数在登录脚本中设置memory

我的安全状态如何？使用setcookie而不是在RememberMe中设置会话cookie参数不是更好吗？我应该使用哪些功能来提高安全性

很抱歉，我的英语很差，正如评论中提到的，您的设置并不安全。关于安全性，有很多事情需要解释，但一个好的开始是要解释以下方面：

会话劫持/固定
SQL注入
XSS（跨服务器脚本）
暴力袭击

一开始，一个好的初学者资源是签出
。我认为这是PDO登录系统的一个不错的例子，它将帮助您避免SQL注入攻击
假设您有权访问
php.ini
文件，您可能需要了解这些命令的作用。它们可能适合您的需要，也可能不适合您的需要，但它们有助于避免会话劫持/固定，因为它们不允许通过URL传递PHPSESSID变量，也不允许通过JavaScript访问该变量

session.use_only_cookies = 1 session.cookie_httponly = 1 session.use_trans_sid = 0

暴力攻击可以通过使用适当的哈希来缓解。查看bcrypt或scrypt以了解更多详细信息。有关这方面的更多信息。
可怕的安全性。。。考虑一百万个AOL用户，所有来自同一NAT网关的所有AOL浏览器都运行相同版本的会话哈希，IP地址不唯一标识用户。我的安全状态如何？美国在线用户：美国在线用户。不好，第二部分，安全局势如何？设置cookie或设置会话cookie参数？你对提高安全性有什么建议？如果我在会话中使用密码，然后记录在数据库中，记住我也使用随机密码،在这种情况下،现在安全情况如何？我已经完成了你说的所有事情，我只想知道三件事：1。记住我应该使用什么函数，Setcookie或session\u set\u cookie 2。出于安全原因，不要将crypt用于cookie或使用3。我将crypt用于session，并生成了到数据库的会话。1）没有那么简单，请参阅。2）生成的PHPSESSID已经是一组随机数，因此在其上使用crypt并不会真正提高安全性。相反，如果存在大量敏感数据，请查看SSL并创建“安全cookie”。我不确定我是否理解你的第三点。。。如果您正在谈论将会话id存储在数据库中，那么这是没有必要的。会话id将用户计算机验证到服务器。对于3،我谈论的是会话哈希？如果使用
session\u start（）
，它将自动生成名为PHPSESSID的cookie，该cookie具有高熵值。您不必自己创建会话哈希值。我将phpsessid转换为会话名称。