php防止会话固定攻击
2016-05-31 10:46
537 查看
问题:希望确保应用不会受到会话固定攻击,即攻击者强制用户使用一个预定义的会话id.
解决方案:要求使用会话cookie但会话标识符不追加到URL,另外要频繁地生成新会话ID:
这种方案基本上可以消除会话固定攻击的风险,攻击者很难得到一个合法的会话id,因为会话id会频繁改变。
解决方案:要求使用会话cookie但会话标识符不追加到URL,另外要频繁地生成新会话ID:
<?php ini_set('session.use_only_cookies',true); //防止会话固定攻击 session_start(); //每隔30秒 生成一个新的PHPSESSID if (!isset($_SESSION['generated']) || $_SESSION['generated'] < (time() - 30) ) { echo "create<br/>"; //生成一个新的session id session_regenerate_id(); $_SESSION = [ 'user'=>'lemon', 'generated'=>time() ]; } else { echo "ok<br/>"; print_r($_SESSION); }
这种方案基本上可以消除会话固定攻击的风险,攻击者很难得到一个合法的会话id,因为会话id会频繁改变。
相关文章推荐
- PHP并发IO编程之路
- PHP header使用
- yii2框架-yii2的核心验证器(八)
- php 日期时间运算比较
- yii2框架-yii2的rules验证(七)
- PHP字符串
- 截取字符串后三位的数字并+1
- php 生成随机数
- php命名空间使用总结
- 国内常用NTP服务器地址及IP
- TSC TTP-243序列条码打印机测纸与恢复出厂设置方法
- phpstorm下载和破解
- 每天laravel-20160818| Container -21
- 每天laravel-20160818| Container -21
- wamp升级php
- IO 输入输出 流 基本概念整理(FileInputStream,FileOutputStream)
- vsftpd配置文件详解
- php在5.5.0默认提供了Zend OPcache
- php原本是浅克隆
- php 对象clone