热门

MySQL字段自增自减的SQL语句

PHP数组的两种合并方法与差异

Provisional headers are shown

PHP会话安全性的原则

git统计代码提交行数

Redis的各项功能解决了哪些问题?

拍摄UFO --- 单一职责原则

PHP 依赖注入

商场促销 --- 策略模式

简单工厂模式

PHP会话安全性的原则

  1. 在对用户进行身份验证或执行敏感操作时使用SSL。

  2. 每当安全级别更改(例如登录)时重新生成会话ID

  3. 会议超时,超时后结束会话

  4. 在服务器上存储身份验证详细信,不要在cookie中发送用户名等详细信息。

  5. 对于敏感操作,要求登录用户再次提供其身份验证详细信息

  6. 检查$_SERVER['HTTP_USER_AGENT']和$_SERVER['REMOTE_ADDR']。客户端或ip发生变化时可能用户的cookie信息被窃取了

if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT'] || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
    //用户环境发生变化后的处理
}


内容来源:phphub.net