douyin7416 2012-10-03 17:49
浏览 11
已采纳

确保PHP会话安全

When an user creates an account, he is given an user id from the database that is unique and auto-incremented. So the first user has the user id of 1, the second user created has the user id of 2, and so on. I'm using PHP sessions to store the user id when they are signed in so that they stayed signed in. After reading several articles, I get the point that you never want PHP sessions to be as vulnerable as I have made it (It's easy for a hacker to determine what the php session user id is of each user. So my question is, If I was to use md5 or blowfish based on their unique username to generate an user id for each user, will that make PHP sessions secure?

  • 写回答

1条回答 默认 最新

  • dongnianchou7047 2012-10-03 17:51
    关注

    A good approach would always be to at the login screen and immediately post login to force a new session id generated using random numbers

    session_start();
$newsessid = somerandomnumberfunction();
session_id($newsessid);

    you can also use session_regenerate_id() function to generate a new id

    session_start();
session_regenerate_id();

    Good Read

    PHP Session Security

    PHP Security Guide: Sessions

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • 确保PHP会话安全 php
    2012-10-03 17:49
    回答 1 已采纳 A good approach would always be to at the login screen and immediately post login to force a new s
  • PHP KCFinder会话安全选项 php
    2016-10-27 12:15
    回答 1 已采纳 KCFinder already has this feature built into it. In your login procedure, you should set a session
  • PHP会话变量请求时间 php
    2019-03-07 11:29
    回答 1 已采纳 Unless you do these session read/write operations millions of times (e.g. in a loop) you shouldn't
  • PHP 编程安全性小结
    2020-12-17 14:03
    在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 对用户输入进行清理的一个简单方法是,使用正则表达式来处理它。 规则 2:...
  • PHP中的安全会话 php
    2015-02-18 09:33
    回答 1 已采纳 No more secure than letting PHP generate a session ID for you automatically, using the session_sta
  • PHP会话不更新变量 php
    2018-08-17 09:28
    回答 2 已采纳 session_start() must be the second thing on your page after <?php. HTML tags must be placed aft
  • PHP LDAP会话持久性 php
    2019-02-04 15:31
    回答 1 已采纳 The problem is not about LDAP, the problem is about HTTP. HTTP is a stateless protocol whereas LD
  • PHP开发需要注意的安全问题
    2021-01-20 00:20
    作为PHP程序员,特别是新手,对于互联网的险恶总是知道的太少,对于外部的...在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或Cookie)的任何数据都是不可信任的。
  • PHP会话安全 - 金丝雀会话 php
    2016-04-21 09:38
    回答 1 已采纳 The way PHP handles sessions, is to generate a unique session id for each user, and store it in a
  • PHP会话干扰子域会话 php
    2017-11-21 17:01
    回答 1 已采纳 Since they share the same domain, they are the same site and share a session. You can manually ov
  • PHP会话传播 php
    2017-03-13 10:01
    回答 1 已采纳 first you have to read what have been removed and edited in php (session.configuration) versions
  • PHP开发不能违背的安全规则 过滤用户输入
    2020-12-18 20:17
    在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全的,因为它们是在PHP中设置的。 复制...
  • 会话变量间歇性PHP html php
    2018-01-19 20:45
    回答 1 已采纳 SOLVED: In my navigation bar I was using a full URL instead of a relative link, this was causing
  • Web安全简介 PHP
    2022-03-26 22:14
    土司家的土豆的博客 背景 开发安全的应用程序十分重要,有漏洞的程序很容易被入侵,入侵后会造成无法承担的损失。 参考文章 Web 安全 读书笔记 [译] 2018 PHP 应用程序安全设计指北
  • 关于PHP5 Session生命周期介绍
    2020-12-17 14:02
    它是通过 Session ID 来判断的,什么是 Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保Session 的安全。一般如果没有设置 Session 的生存周期,则 Session ...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 ubuntu子系统密码忘记
  • ¥15 信号傅里叶变换在matlab上遇到的小问题请求帮助
  • ¥15 保护模式-系统加载-段寄存器
  • ¥15 电脑桌面设定一个区域禁止鼠标操作
  • ¥15 求NPF226060磁芯的详细资料
  • ¥15 使用R语言marginaleffects包进行边际效应图绘制
  • ¥20 usb设备兼容性问题
  • ¥15 错误(10048): “调用exui内部功能”库命令的参数“参数4”不能接受空数据。怎么解决啊
  • ¥15 安装svn网络有问题怎么办
  • ¥15 vue2登录调用后端接口如何实现