Session-token - wie funktioniert das?
Frage ich mich, wie man sich am besten schützen Sitzungen. Ich habe ein wenig gesucht und finde viele Antworten, aber viele von Ihnen sind einfach zu verwirrend.
Wie um zu verhindern, dass Sitzungen von vereinnahmt zu werden? Ich habe viel gelesen über "Sitzungen Token", die Sie erzeugen, in einer form, aber wirklich nicht verstehen, was Ihr nutzen ist. Wie wirkt sich dies verhindern, session hijacking?
Ich wissen, dass Sie nicht speichern Sie Dinge wie Passwörter in sessions, aber was KÖNNEN Sie lagern sich in Ihnen sicher? Berechtigungen (wie z.B. ein session variabele, die Spur hält der Benutzer-Ebene. Jedes mal, wenn eine Seite geöffnet wird, die session variabele aktiviert ist. Es ist nicht eine bestimmte Anzahl, erhalten Sie eine "Zugriff verweigert" - Meldung angezeigt)? Oder wie handhabt man das am besten?
Danke!
- mögliche Duplikate von Verhindern, dass PHP-sesison hijack, sind diese guten Ideen?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Grundsätzlich können Sie speichern alles, was in der Sitzung, die Sie wollen, ist es nur als "beste" Methode nicht, um alle sicherheitsrelevanten Informationen, wie Passwörter, im Falle, dass eine Schicht von Sicherheit beeinträchtigt wird.
Der erste Schritt zur Verhinderung von session-hijacking nicht passieren session_id() per url. Die Nutzer sind dumm, und werden Sie post-links auf Ihre blogs mit Ihrer session-id, die würde im Grunde geben, wer auch immer geklickt, dass link Zugriff auf Ihre Sitzung. Es wird daher empfohlen, zur Speicherung Ihrer session id in der Benutzer-cookie.
Mit dieser sagte, Sie filtern möchten, und die Flucht alle Ihre Benutzer-Eingabe. Wenn du eine XSS-injection, und der Benutzer ist in der Lage, um zu injizieren, javascript, Sie werden in der Lage sein zu Lesen Ihre cookies, ohne ein problem.
Gibt, werden Sie in der Regel wollen regenerate_session_id() auf jeder größeren Aktion auf Ihrer website, um zu verhindern, dass session fixation.
Es ist ziemlich einfach, und das über Summen es oben.