① php的session怎麼寫才安全
會話的用途常常是幫助用戶在Web應用程序的各個部分之間跳轉,(這句話說的比較不全面,其實主要是為了能共享數據。)
從而達到方便快捷的目的,但是它在存儲信息的時候往往會有一些敏感的東西,這些東西可能成為被攻擊的目標,如銀行的賬號、信用卡事務或檔案記錄等。這就要求在編寫代碼的時候必須採取安全措施來減少攻擊成功的可能性。
主要的安全措施有以下兩個方面。
1、防止攻擊者獲取用戶的會話ID。
獲取會話ID的方式很多,攻擊者可以通過查看明文通信來獲取,所以把會話ID放在URL中或者放在通過未加密連接傳輸的Cookie中是很危險的;還有在URL中(作為_get()參數)傳遞會話ID也是不安全的,因為瀏覽器歷史緩存中會存儲URL,這樣就很容易被讀取。(可以考慮使用ssh進行加密傳輸)
還有一種更為隱蔽的攻擊手段,攻擊者通過一個被腳本攻擊突破的Web站點,把被突破的這個站點上的用戶重新定向到另一個站點,然後在重新定向的站點的URL中插入以下代碼:
?PHPSESSID=2dfd56465412312365465412312;
最後發送到Web應用程序。當用戶查看Web應用程序時,PHP會發現沒有與這個會話ID相關聯的數據並且會創建一些數據。用戶不知道發生了什麼,但攻擊者卻知道了會話ID,就可以利用這個會話ID進入應用程序。
要防止這種攻擊,有兩種方法。
(1)檢查php.ini中是否打開了session.use_only_cookie。如果是這種情況,PHP會拒絕基於URL的會話ID。
(2)當啟動會話時,在會話數據中放一個變數,這個變數表示會話是用戶創建的;如果發現會話數據中沒有這個變數,那就說明會話ID是假的,就可以調用session_regenerate_id函數,給現有會話分配一個新的會話ID。
示例:
通過判斷變數是否存在來確定會話ID的真假,如果存在,則說明會話ID是真的,否則是假的,並使用session_regenerate_id()函數對會話ID進行更改,重新給會話創建一個新的會話ID,
代碼如下:
< ?php
session_start () ;
if (!isset ( $_SESSION['shili1'] )) { //判斷shili1變數是否配置
$old_id = session_id () ; //原來的會話ID的變數名
session_regenerate_id () ; //獲取一個新的會話ID
$new_id = session_id () ; //新的會話ID的變數名
echo "old : $old_id<br/>" ; //輸出原來的會話ID
echo "new : $new_id<br/>" ; //輸出新的會話ID
$_SESSION['shili1'] = TRUE ; }
?> 這只是一個示例,輸出會話ID是為了更好的理解和應用這個函數,而在程序設計中是不需要輸出會話ID的。
2、限制攻擊者獲取會話ID。
限制攻擊者獲取會話ID的方法如下。
(1)使用一個函數(md5)計算User-Agent頭加上某些附加字元串數據後的散列值(hash)。(散列函數(hash function)接受一個任意大的數據集,並且將它轉換為一個看起來完全不同的數據,這個數據很短。產生的散列值是完全不可重現的,也不可能由另一個輸入產生。)
在User-Agent字元串後面添加一些數據,攻擊者就無法通過對常見的代理值計算md5編碼來試探User-Agent字元串。
(2)將這個經過編碼的字元串保存在用戶的會話數據中。
(3)每次從這個用戶接收到請求時,檢查這個散列值。
此方案的代碼如下:
<?php
define ( 『ua_seed','webapp' ) ;
session_start () ;
if ( !isset($_SESSION['user_agent'] )){
$_SESSION['user_agent'] = md5 ( $_SERVER['HTTP_USER_AGENT'].ua_seed );
}else{
if ($_SESSION['user_agent'] != md5($_SERVER['HTTP_USER_AGENT'].ua_seed)){} }
?>
通過給攻擊者製造一些麻煩,使攻擊者即使獲取了會話ID,也無法進行破壞,能夠減少對系統造成的損失。
② php上傳漏洞如何防止注入木馬
可以在騰訊智慧安全頁面申請使用騰訊御點
然後使用這個軟體上面的修復漏洞功能
直接對電腦的漏洞進行檢測和修復就可以了
③ PHP加了Token驗證表單防止CSRF後還有必要做其它的防範嗎
有必要,在安全防護方便不要心存僥幸,能想到的盡量一個也不要少,防患於未然!!
④ 如何為Wordpress做安全防護
是需要做什麼樣的安全防護呢?這個需要多個方面的來做才能做好,
一、伺服器安全
選擇一個安全穩定的伺服器這個比較重要,一個是服務好二個是數據的安全,保證數據的定時備份。
二、程序的安全
這里包括,我們博客的主題是否是經過檢測的,有沒有含有木馬後門等程序,這個尤其是網上下回來的主題,還有就是插件安全,不要隨意去網上下載插件來安裝,最好是直接用後台去收索插件的名字來安裝。
三、管理員的習慣
這個主要是人工層面的東西,比如用戶口令是否是弱口令,是不是定期修改,還有及時重要的信息要保管好。我自己的,熊照旭博客,就是嚴格按照這些來做的,都沒出過什麼問題。