我知道这个话题已经讨论了很多,但是我还有一些具体的问题没有回答。例如:
// **PREVENTING SESSION HIJACKING**
// Prevents javascript XSS attacks aimed to steal the session ID
ini_set('session.cookie_httponly', 1);
// Adds entropy into the randomization of the session ID, as PHP's random number
// generator has some known flaws
ini_set('session.entropy_file', '/dev/urandom');
// Uses a strong hash
ini_set('session.hash_function', 'whirlpool');
// **PREVENTING SESSION FIXATION**
// Session ID cannot be passed through URLs
ini_set('session.use_only_cookies', 1);
// Uses a secure connection (HTTPS) if possible
ini_set('session.cookie_secure', 1);
session_start();
// If the user is already logged
if (isset($_SESSION['uid'])) {
// If the IP or the navigator doesn't match with the one stored in the session
// there's probably a session hijacking going on
if ($_SESSION['ip'] !== getIp() || $_SESSION['user_agent_id'] !== getUserAgentId()) {
// Then it destroys the session
session_unset();
session_destroy();
// Creates a new one
session_regenerate_id(true); // Prevent's session fixation
session_id(sha1(uniqid(microtime())); // Sets a random ID for the session
}
} else {
session_regenerate_id(true); // Prevent's session fixation
session_id(sha1(uniqid(microtime())); // Sets a random ID for the session
// Set the default values for the session
setSessionDefaults();
$_SESSION['ip'] = getIp(); // Saves the user's IP
$_SESSION['user_agent_id'] = getUserAgentId(); // Saves the user's navigator
}
我的问题是
-
ini_set提供足够的安全性吗? - 是否可以保存用户的IP和导航器,然后检查它每次加载页面以检测会话劫持?这有什么问题吗?
-
session_regenerate_id()的使用是否正确? -
session_id()的使用是否正确?
你的配置太棒了。您肯定已经了解了如何锁定php会话。然而,这行代码否定了php配置提供的许多保护:session_id(sha1(uniqid(microtime()));
这是一个特别糟糕的生成会话id的方法。基于你的配置,你从/dev/urandom生成会话id,这是一个很棒的熵池。这将比uniqid()更具随机性,uniqid()基本上已经是一个时间戳,在这个组合中添加另一个时间戳根本没有帮助。尽快删除这行代码。
检查IP地址是有问题的,IP地址因为合法的原因而改变,比如如果用户在负载平衡器或TOR后面。用户代理检查是毫无意义的,它就像有一个像?is_hacker=False这样的GET变量,如果攻击者有会话id,他们可能有用户代理,如果他们没有,这个值真的很容易暴力破解。