php cookie安全,PHP会话的cookie是否安全?

最新推荐文章于 2024-04-06 02:46:07 发布
转载 最新推荐文章于 2024-04-06 02:46:07 发布 · 173 阅读 · 0
文章标签:

#php cookie安全

博主探讨了在确保会议安全的背景下,如何利用基于Agent和IP的PHPSESSID来防止会话劫持。确认PHP会话数据在服务器端存储,客户端仅接收会话ID。关注点在于HTTPS下包含PHP会话ID的cookie是否自动标记为安全,以防通过中间人攻击破坏安全性。经过研究,发现需要在开启会话前设置cookie的安全标志,以确保在HTTPS和HTTP之间的正确行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我正在努力确保我的会议安全.在做一些研究时,我估计基于Agent和IP的

PHP的

PHPSESSID随机哈希足以防止劫持.你能做什么呢,真的.

我使用HTTPS登录.据我所知,PHP的会话数据永远不会发送给用户,而是存储在服务器端.客户端仅获取会话的ID.会话数据保存实际的webapp用户会话,而后者又用于检查登录是否有效.一切都很好,花花公子.

但是,有一个我在任何地方都找不到的细节.我想知道如果我使用HTTPS,包含PHP会话ID的cookie是否会自动标记为安全.我做了一些谷歌搜索,但似乎从来没有得到正确的搜索字符串,因为我只找到手动发送cookie的方法.我想知道,因为如果该cookie被发送为明文,它将通过中间人来破坏一些安全性.

编辑1

这是@ircmaxell的补充

我尝试了你的方法但是当我从HTTPS切换回HTTP时,我仍然得到了cookie.它的工作方式如下.只要服务器知道用户会话可用,它就会设置安全标志.这意味着整个站点在您登录后立即在SSL上运行,并且在您不使用SSL时拒绝放弃/使用cookie.或者至少,这就是想法.

if ($SysKey['user']['session_id'] != '') {

session_set_cookie_params(60*60*24*7, '/', $SysKey['server']['site'], true, true);

}

我假设我需要重新生成id,因为浏览器在登录之前已经有了cookie但是因为我只能在几个小时内试用它,所以在尝试之前我会问

解决方案说明

我刚刚发现你必须在开始会话之前设置这些设置.那是我的问题.我现在使用2个不同的cookie.一个用于通过http发送的常规访客,另一个用于仅通过ssl发送的登录用户.

18339543841
关注
PHP开发安全问题之Cookie 安全问题
weixin_52345129的博客
01-16 1142
在浏览器中,Cookie 是服务器让浏览器帮忙携带信息的手段,就像饼干里的纸条,浏览器会储存它,并且在后续的 HTTP 请求中再次发送给服务器。我们可以通过浏览器的开发者工具,在Application页面中查看浏览器存储的Cookies信息。通常我们会在Cookies中记录:会状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)
PHP操作之cookie用法分析
10-21
默认情况下,cookie是会cookie,当浏览器关闭时就会被删除。若要设置生命周期,可以通过向`setcookie()`函数传递一个时间戳作为第三个参数,如: ```php setcookie('key', 'val', time() + 60 * 60 * 24 * 30); //...
php用户登录之cookie信息安全分析
10-22
主要介绍了php用户登录之cookie信息安全,介绍了cookie加密与令牌保护两种cookie信息安全保护的技巧,需要的朋友可以参考下
php cookie安全,关于php:使用登录Cookie的相对安全的方法是什么?
weixin_29378975的博客
03-11 264
我想知道Cookie登录的最安全方式是什么?如果您仅将通行证(用salt加密)和用户名存储在cookie中并针对用户表进行验证,潜在的攻击者可以窃取Cookie并登录。人们通常不会在"最后一次上网"时查看该信息。那么"记住我的cookie"是否有更好的方法?IP不是一个很好的选择,是吗? (某些机器一直在更改IP)。请告诉我们有关您的应用程序将使用此功能的信息。 假冒/身份盗窃的潜在影响是什么?大...
安全登录代码 php,php如何保证Cookie自动登录的安全性?
weixin_36159799的博客
03-10 227
[php]代码库class member{var $ck='Dxe8SqIcmyUf';var $db; //传入PDO对象var $mid; //会员IDpublic $scr; //cookie 安全码 $_COOKIE['scr']public $user;//cookie User $_COOKIE['user']public $srpwd;//执行checkcookie后方可调用...
PHP开发安全问题之Cookie 安全问题,看完直接跪服
最新发布
m0_60721695的博客
04-06 898
在浏览器中,Cookie 是服务器让浏览器帮忙携带信息的手段,就像饼干里的纸条,浏览器会储存它,并且在后续的 HTTP 请求中再次发送给服务器。我们可以通过浏览器的开发者工具,在Application页面中查看浏览器存储的Cookies信息。以上这些数据不可能通过链接参数进行传递,因此 Cookies 就是一个很好的容器。那Cookies又会发生什么安全问题呢?
php cookies id,关于安全性:PHP使用Cookies将当前会ID存储在数据库中
weixin_36109676的博客
04-04 213
我创建了一个使用Cookie的登录系统,并将会ID存储在数据库中,因此您的登录将仅适用于该特定会ID。 我意识到这有一些问题:如果您在另一台设备上登录,则会ID会更改(无多次登录)会ID实际上是唯一可以识别用户已登录的东西(由于cookie是特定于域的,因此我不确定这是否存在安全风险)但是,我想保留cookie附带的持久性登录名,同时又要确保内容安全。实际上,我想知道是否有更好的方法可以使...
PHP cookie与session会基本用法实例分析
10-15
$value是cookie的值,$expire是cookie的过期时间(时间戳格式),$path是cookie的有效路径,$domain是cookie的作用域,$secure表示是否通过安全的HTTPS连接发送cookie,$httponly则是指定cookie是否只能通过HTTP协议...
php使用Cookie实现和用户会的方法
10-24
PHP的管理基于一个会ID,当用户第一次访问网站时,PHP会自动生成一个会ID,并通过一个会Cookie存储在用户的浏览器中。之后,用户每次访问网站时,浏览器都会发送这个会CookiePHP通过会ID来识别并...
php cookie工作原理与实例详解
12-18
1. **身份验证和会管理**: 通过存储一个包含用户ID的Cookie,服务器可以在用户每次访问时识别他们,无需每次都登录。 2. **个性化体验**: 通过跟踪用户偏好,如语言选择、布局设置等,为用户提供定制化的网页内容...
PHP安全编程之cookie暴露导致session被劫持
爱代码也爱生活
08-10 1996
使用Cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会标识保存在cookie中,cookie的暴露就是一个严重的风险,因为它能导致会劫持。 PHP为你处理相关会管理的复杂过程 最常见的cookie暴露原因是浏览器漏洞和跨站脚本攻击(见专题前几部分)。虽然现在并没有已知的该类浏览器漏洞,但是以往出现过几例,其中最有名的一例同时发生在IE浏览器的4.0,
PHP自动登录的实现和Cookie安全性(UCHome的实现方法)
lzding的博客
06-24 1072
网站自动登录,即“记住我”、一周内免登录等,一般都是利用 cookie 来实现的。cookie 保存了用户名和密码等信息,再次访问时,将 cookie 数据查询数据库对比。 用户名可以直接保存到 cookie里,而密码必须经过加密,并保证加密算法难以破解、且能够解密。 本文参考 UCHome 自动登录的实现方法,并利用 UCHome 的加密解密函数 authcode(),将整个自动登录的过程整
php session 加密,php中的cookie与session以及session与cookie安全讨论
weixin_32561885的博客
03-10 237
Cookie是什么?从web编程角度来说,就是一个通过http协议响应头发送的key=value类型的小文本,Cookie一般由服务器端脚本产生,通过http协议头发送至用户浏览器端,不同品牌的浏览器在接受到这些Cookie后会在硬盘中生产一个小文本记录该Cookie的相关信息,在该Cookie设定的过期时间未到之前用户下次访问该网站时,浏览器会通过http请求头信息将该Cookie发送给服务器端...
PHP之Session与Cookie:存放 安全 应用场景 过期设定 依赖关系
思维小刀
06-02 211
PHP的session与cookie区别
php登陆后安全设计,php用户登录之cookie信息安全分析
weixin_39604557的博客
03-10 252
本文实例讲述了php用户登录之cookie信息安全。分享给大家供大家参考,具体如下:大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。下面就说说平常一些防止用户登录cookie信息安全的方法:一、cookie信息加密法...
php 基于cookie的用户登录验证
战国墨竹的博客
07-13 1432
cookie在客户端存储,用户自己可以任意创建修改删除,随意直接在cookie中存储用户名密码来进行验证是很不安全的, 一般常用的方式,可以创建一个密钥字符串的cookie用于验证 $cookie_encode = substr(md5($map['username'].$key),5,20); cookie('uid',$map['uid'],3600); ...
Cookie没有HttpOnly标志
静宁宇思
08-29 5492
PHP设置COOKIE的HttpOnly属性 httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。     大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样 就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都
php cookie安全,php通过header设置cookie安全
weixin_28681255的博客
03-11 344
代码如下define('COOKIES_PATH', '/');define('COOKIES_EXPIRES',gmstrftime("%A, %d-%b-%Y %H:%M:%S GMT",time()+9600));header("Set-Cookie:user[userid]=123;path =".COOKIES_PATH.";httpOnly;SameSite=Strict;expire...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值