AI 助理
备案控制台
开发者社区> 问答> 正文

php 如何建一个安全的会话机制?

研究了几天session安全,得出几个观点,请指正:

1.可以xss通过获得cookie信息,包含sessionid
2.可以通过截取http,获得header信息,包含sessionid
3.以上两种法都有一定条件和难度
4.如果服务端单靠sessionid识别会话信息,那么通过xss获取了sessionid后,会泄露用户信息,如果再通过ip,useragent信息加以校验,可以减少风险
5.如果截取了http,换用https方式可以减少风险
6.即便是使用https,ssl证书也是可以伪造

结论:
1.xss漏洞更低级一些,但是造成的风险很大。
2.http截取,截取范围很小,风险小。当然,截取到admin的信息,那就不一样了。
3.http截取/ssl证书伪造的技术要求、环境要求较高,防治的成本也大。

展开
收起
落地花开啦 2016-06-14 11:38:10 2763 0
1 条回答
写回答
取消 提交回答
  • 落地花开啦
    喜欢技术,喜欢努力的人

    1.XSS可以通过给sessionid cookie设置 httponly 来防止。
    2.监听http包的,校验IP是一种还不错的办法。因为通常用session做登录都不会持续很长时间,IP通常不会发生变化。admin登录的话,最好不要与前台系统做在一起,独立域名、特殊端口、限制IP/VPN内网、手机短信随机验证码等等方法都可以增强安全性。
    3.https的伪造证书监听,这个貌似只能获取到被欺骗用户提交的数据,因为证书本身验证的是服务器端的可信度。当然如果已经把客户端与服务端网络完全切断,加入了中间代理并伪造了服务器证书,这个应该仍然可以通过认证IP、SSL客户端证书来解决……这个不是很明白,恳请大神讲解。

    另外,sessionid的随机性不够被猜到也是session的潜在安全问题之一。

    2019-07-17 19:37:07
    赞同 展开评论 打赏
问答分类:
安全 网络安全 PHP 数字证书管理服务(原SSL证书)
问答标签:
PHP机制 PHP安全 PHP会话 PHP会话机制
问答地址:
开发者社区 > 安全 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
mPaaS安全加签功能,有没有php示例?
31
0
0
在阿里云安全中,有适合php7.0的版本吗?
88
2
0
阿里云安全使用php 调用url异步检测,callback接收不到怎么办?
50
0
0
请问下阿里云安全用了示例的PHP SDK后,更改了autoload.php的对于路径?
30
0
0
在阿里云安全中,php SDK安装报错问题?
117
2
0
云效的代码安全有一个密钥泄露的问题,PHP的代码有什么好的方式解决么?
79
2
0
除了使用云上安全防护产品,针对php应用程序有什么基本的安全措施
834
1
0
php5.4基本不需要安全配置:报错
492
1
0
php同一个会话之间可以共享同一个对象实例吗?? 400 报错
523
1
0
php 会话 flash? 400 报错
478
1
0
问答排行榜
最热
最新
1 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1819136
2 据说在家办公的程序员是这样写代码的? 1793292
3 阿里云开放端口权限 690360
4 如何升级配置 536335
5 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522920
6 【精品问答】python技术1000问(1) 514158
7 Flink Forward Asia 2021 有奖问答 512933
8 OceanBase 使用动画(持续更新) 359398
9 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329818
10 OSS存储服务-客户端工具 321641
11 为体验实验室取一个新名字。 307514
12 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 304135
13 Win Server 2003-2016 加密勒索事件必打补丁合集 295354
14 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 284264
15 安全组详解,新手必看教程 277366
16 写code还是做管理,开发者如何进行职业规划? 269249
17 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255895
18 阿里云手机和阿云浏览器连接问题专帖 235708
19 支付宝H5 下载的时候,提示 【请确保该下载文件来源安全,如需浏览,请长按网址复制后使用浏览器访问】 231751
20 请问阿里云邮箱如何开启SMTP服务啊! 225917
1 2024年接近尾声,你对即将到来的2025年有什么样的期待或愿望? 1681
2 当面对多种不同格式的文档时,如何让AI系统更好地处理复杂文档? 441
3 你好,需要阿里免费的企业邮箱,谢谢 100
4 通义APP上新【局部风格化】新功能,万物皆可毛茸茸你体验了吗? 812
5 一个专属的智能 AI 总结助手,能在多大程度上提升工作效率? 983
6 宜搭是否可以和钉钉OA审批打通,钉钉OA审批提交的数据宜搭是否可以联动字段数据过来使用? 279
7 宜搭表单中的复选框问题 264
8 关于宜搭普通表单如何获取钉钉通讯录数据以及考勤数据的问题。 191
9 AI视频技术的发展是否会影响原创内容的价值? 1445
10 日常工作中,开发者应该如何避免“效率陷阱”? 807
11 Nacos 2.4.3在linux X86_64服务器上启动报错 188
12 docker login报错Error response from daemon: Filtered 125
13 AI 编码助手能否引领编程革命?一起探索 AI 对研发流程的变革 1822
14 阿里云大学生300优惠券可以用于哪些产品 148
15 宜搭数据管理页面如何把一个字段设置为链接跳转 384
16 AI新茶饮,是噱头还是未来? 1662
17 开发者们需要如何打造属于自己的Plan B? 961
18 阿里云电脑免费体验30天在哪申请? 426
19 ACP认证有几次考试机会? 304
20 动机VS自律,对开发者们来说哪个比较重要? 940

相关课程

更多
  • PHP进阶教程 - 由浅入深掌握面向对象开发 - 第二阶段
    214
    33
    去学习
  • PHP完全自学手册文档教程
    9754
    88
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • 安全服务 专业护航!阿里云位居云托管安全服务市场第一
  • 局域网网络管控里 Node.js 红黑树算法的绝妙运用
  • 阿里云国际站:如何使用阿里云国际站服务器
  • 对话|企业如何构建更完善的容器供应链安全防护体系
  • 通过阿里云Milvus与PAI搭建高效的检索增强对话系统

    • 相关电子书

    更多
    • 阿里云栖开发者沙龙PHP技术专场-深入浅出网络编程与swoole内核-吴镇宇 立即下载
    PHP安全开发:从白帽角度做安全 立即下载
    PHP 2017.北京 全球开发者大会——高可用的PHP 立即下载

    相关实验场景

    更多
  • 1分钟SAE部署PHP商城小程序
    1369
    1.0小时
    去实验
  • 10分钟Serverless部署PHP商城
    1334
    1.0小时
    去实验