《PHP學(xué)習(xí)：淺談php(codeigniter)安全性注意事項(xiàng)》要點(diǎn)：
本文介紹了PHP學(xué)習(xí)：淺談php(codeigniter)安全性注意事項(xiàng)，希望對(duì)您有用。如果有疑問，可以聯(lián)系我們。

1、httponlyPHP教程

session一定要用httponly的否則可能被xxs攻擊,利用js獲取cookie的session_id.PHP教程

要用框架的ci_session,更長(zhǎng)的位數(shù),httponly,這些默認(rèn)都配好了.PHP教程

不要用原生的phpsession,而要用ci_session.ci_session位數(shù)更長(zhǎng).PHP教程

如果要用原生的session,應(yīng)該這樣設(shè)置(php.ini)：PHP教程

session.sid_length //sid的長(zhǎng)度,這里要加長(zhǎng),默認(rèn)的太短了PHP教程

session.cookie_httponly = 1原生的session就會(huì)變成httponly了.PHP教程

2、phpinfoPHP教程

一定要關(guān)閉phpinfo頁面,dump的請(qǐng)求信息可能會(huì)被攻擊者利用.比如cookie信息.PHP教程

3、強(qiáng)制全站httpsPHP教程

通過cdn跳轉(zhuǎn),本地開發(fā)環(huán)境也要配https.如果有的環(huán)節(jié)不能使用https,比如消息推送,那么可以新建一個(gè)站點(diǎn).PHP教程

4、Strict modePHP教程

session.use_strict_mode = 1
PHP教程

只使用服務(wù)端自己生成的session id,不使用用戶客戶端生成的session id.PHP教程

5、CSRF跨站請(qǐng)求偽造PHP教程

A的cookie里有站點(diǎn)example.com的session id,并且未過期,B通過放一個(gè)圖片在論壇上,引誘A去點(diǎn)擊這個(gè)圖片,這個(gè)圖片會(huì)發(fā)起一個(gè)請(qǐng)求,請(qǐng)求偽裝成example.com,A的瀏覽器信以為真,將example.com的cookie附加到了這個(gè)請(qǐng)求上面,這個(gè)請(qǐng)求信息被B的代碼截獲并且通過異步請(qǐng)求發(fā)送給了B,B通過這個(gè)cookie登錄了A在example.com的賬戶.PHP教程

CI有防CSRF機(jī)制,即他會(huì)在表單里面自動(dòng)的插入一個(gè)隱藏的CSRF字段.需要進(jìn)行如下設(shè)置：PHP教程

application/config/config.php:PHP教程

$config['csrf_protection'] = TRUE;

注意,這個(gè)開了以后,所有的向外站進(jìn)行的請(qǐng)求都被阻止了.如果我們網(wǎng)站有向其他網(wǎng)站獲取數(shù)據(jù)的行為,比如說調(diào)用api,那就不可以啟用這個(gè)開關(guān).PHP教程

6、xss攻擊PHP教程

CI會(huì)對(duì)post數(shù)據(jù)進(jìn)行xss過濾,只要這樣調(diào)用：PHP教程

$this->input->post('a',true);

只要加一個(gè)參數(shù)true,就可以對(duì)post的數(shù)據(jù)進(jìn)行xss過濾.PHP教程

7、重放PHP教程

你把用戶名密碼加密了,傳到服務(wù)器進(jìn)行登錄驗(yàn)證,攻擊者并不需要解密你這些用戶名密碼,他只要把截獲的這些數(shù)據(jù)包,重新再操作一次,就可以實(shí)現(xiàn)登錄,這就是重放.PHP教程

5、6的防御措施：每個(gè)表單包含一個(gè)隱藏的只能用一次的隨機(jī)碼token.PHP教程

只用一次的token實(shí)現(xiàn)：redis 到期失效 使用后直接刪掉PHP教程

8、總結(jié)：用戶安全登錄流程PHP教程

<1>session基本策略：PHP教程

(1)session僅作會(huì)話session,關(guān)閉瀏覽器即失效；PHP教程

(2)session的有效期設(shè)置得越短越安全,比如說60秒；PHP教程

(3)相應(yīng)的需要修改session的刷新時(shí)間,比如說30秒；PHP教程

(4)設(shè)置用redis存儲(chǔ)session.PHP教程

配置如下：PHP教程

在php.ini：PHP教程

session.gc_maxlifetime = 60

這個(gè)是session的有效期,默認(rèn)是1440秒,即24分鐘,改為比如說60秒.當(dāng)60秒后,客戶端跟服務(wù)端這個(gè)sid對(duì)得上的話,也是無效的,應(yīng)該在60秒之前刷新一次頁面更新sid,怎么更新下面有說；
PHP教程

在application/config/config.php：PHP教程

$config['sess_driver'] = 'redis';//設(shè)為用redis存儲(chǔ)session
$config['sess_cookie_name'] = 'ci_session';
$config['sess_expiration'] = 0;//設(shè)為會(huì)話session,關(guān)閉瀏覽器,客戶端cookie即失效
$config['sess_save_path'] = 'tcp://127.0.0.1:端口號(hào)';//redis地址
$config['sess_match_ip'] = FALSE;//要不要驗(yàn)證ip是否一致
$config['sess_time_to_update'] = 30;//超30秒即刷新sid
$config['sess_regenerate_destroy'] = TRUE;//重新生成sid的時(shí)候刪除舊sid

<2>session id的刷新及session的過期時(shí)間區(qū)分：PHP教程

注意：這些設(shè)置跟安全關(guān)系非常大,應(yīng)該注意區(qū)分及使用.PHP教程

上面說的session.gc_maxlifetime是什么意思?即一個(gè)session從產(chǎn)生,到過期不能用的時(shí)間.其實(shí)如果使用redis就清楚了,這個(gè)值就是使用redis保存sid的時(shí)候,設(shè)定的一個(gè)存續(xù)時(shí)間,這就很清楚了,當(dāng)一個(gè)sid產(chǎn)生的時(shí)候就會(huì)把這個(gè)時(shí)間寫進(jìn)去,那么到了這個(gè)時(shí)間,這個(gè)key-value就會(huì)被刪掉.PHP教程

那么這個(gè)sess_time_to_update呢,這個(gè)顧名思義是刷新時(shí)間,這個(gè)時(shí)間是一個(gè)閾值,是指超過這個(gè)時(shí)間即刷新.并不是自動(dòng)刷新,而是訪問session的時(shí)候刷新!當(dāng)我們?cè)谑褂胹ession的時(shí)候,他會(huì)去判斷上次使用session跟這次使用session的間隔,如果間隔大于這個(gè)值,即刷新sid.這個(gè)使用,通常的表現(xiàn)就是我們?cè)谒⑿马撁?需要讀取session以鑒權(quán),那么就是在刷新頁面的時(shí)候,兩次間隔有超過這個(gè)時(shí)間,即刷新sid,那么結(jié)合上面的maxlifetime呢,就是刷新完之后session重新續(xù)命了,一個(gè)新的session寫進(jìn)去,連帶一個(gè)重新開始的計(jì)時(shí).PHP教程

轉(zhuǎn)載請(qǐng)注明本頁網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/994.html