Kebimbangan Keselamatan Pembolehubah Sesi PHP
Pernyataan Masalah:
Adakah selamat untuk menyimpan tahap kebenaran pengguna dalam pembolehubah sesi PHP selepas mengesahkan kelayakan log masuk dan melaksanakan pertanyaan tambahan terhadap peranan meja?
Jawapan:
Walaupun sesi lebih selamat daripada kuki, sesi masih terdedah kepada kecurian. Untuk mengurangkan risiko ini, pertimbangkan langkah berikut:
Pemeriksaan IP:
- Jejak alamat IP pengguna semasa log masuk.
- Bandingkan IP alamat semasa permintaan berikutnya untuk menghalang akses sesi yang tidak dibenarkan.
- Perhatikan bahawa kaedah ini mungkin tidak boleh dipercayai kerana tugasan IP dinamik.
Nonce (Nombor Digunakan Sekali):
- Jana token unik untuk setiap permintaan halaman.
- Bandingkan nonce yang disimpan dalam pembolehubah sesi dengan yang dijana untuk halaman semasa.
- Ini menghalang sesi rampasan dengan memastikan bahawa permintaan berasal daripada penyemak imbas pengguna.
Pertimbangan Tambahan:
- Gunakan ID sesi yang disimpan dengan selamat dalam stor sesi sebelah pelayan .
- Elakkan menyimpan bukti kelayakan pengguna dalam sesi pembolehubah.
- Laksanakan semakan keselamatan pada setiap permintaan skrip, walaupun kuki tidak digunakan.
- Sedar bahawa menggabungkan kuki dan AJAX boleh meningkatkan kerentanan jika kuki dicuri.
- Semak dan kemas kini amalan pengurusan sesi secara kerap untuk menangani potensi ancaman keselamatan.
Atas ialah kandungan terperinci Adakah Menyimpan Tahap Keizinan Pengguna dalam Pembolehubah Sesi PHP Selamat?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!