我的用户已经从我的网站登录。当某人从另一个设备登录时,就会发生这种情况。我研究了它,并注意到远程IP的某人能够以不同的用户登录我的网站。
我不知道我是否有意被定位,或者是否在某种程度上是我的代码中的错误。我想知道如何以安全的方式正确设置会话cookie以防止这种情况发生。
-
我的cookies是http
-
我也不认为这是中间人的攻击,因为来自不同区域的多个用户正在登录。我的网站已确保SSL。
-
我不认为这是蛮力攻击。有时,当我在30秒内登录时,我再次登录,并且登录远程IP。
-
我不相信他可以访问任何密码。所有内容都是在数据库中的哈希中的hashed,唯一存储在客户端的是session http http cookie令牌。
我很卡住。
这是我的登录脚本检查用户的凭据并设置会话:
//database connection is $db_connect
//Creates a random String
function generateRandomString() {
$length = rand(25, 30);
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
$charactersLength = strlen($characters);
$randomString = '';
for ($i = 0; $i < $length; $i++) {
$randomString .= $characters[rand(0, $charactersLength - 1)];
}
return $randomString;
}
//Grab email, password, IP address
$email_attempt=strtoupper(preg_replace('#[^a-z0-9.@_-+]#i', '', $_POST['e']));
$password_attempt=$_POST["p"];
$user_IP = preg_replace('#[^0-9.:]#', '', getenv('REMOTE_ADDR'));
//Call the database
$sql = "SELECT password, userID FROM user_data WHERE email='$email_attempt' LIMIT 1";
$query = mysqli_query($db_connect, $sql);
if(mysqli_num_rows($query)>0)
{
//Get the ID and hashed password from database
while($row = $query->fetch_assoc()) {
$password_db=$row["password"];
$userID_db=$row["userID"];
}
//Verify Login using password verify
if(password_verify($password_attempt, $password_db)==true){
//remove any previous sessions for the user
$sql = "DELETE FROM user_sessions WHERE userID='$userID_db'";
$query = mysqli_query($db_connect, $sql);
//Clear any current cookies from client
if(isset($_COOKIE["user"]) && isset($_COOKIE["token"])) {
setcookie("user", '', strtotime( '-5 days' ), '/');
setcookie("token", '', strtotime( '-5 days' ), '/');
}
session_destroy();
// Set Session data to an empty array
$_SESSION = array();
//create a new token, set new session and cookies
$token=generateRandomString();
$_SESSION['user'] = $userID_db;
$_SESSION['token'] = $token;
setcookie("user", $userID_db, strtotime( '+3 days' ), "/", "", "", TRUE);
setcookie("token", $token, strtotime( '+3 days' ), "/", "", "", TRUE);
//Hash the token to store in the database
$token_hash=password_hash($token, PASSWORD_DEFAULT);
//Store session into database
$sql = "INSERT INTO user_sessions
(userID, session_token, IP, loginDate)
VALUES
('$userID_db','$token_hash','$user_IP', '$current_date')";
$query = mysqli_query($db_connect, $sql);
header("Location: dashboard.php");
}
else
{
echo 'wrong_credentials';
}
}
这是我的代码评估用户,看看是否通过检查会话和cookie来登录;
//start session
session_start();
$user_ok = false;
$clientID = "";
$token = "";
$user_IP = preg_replace('#[^0-9.:]#', '', getenv('REMOTE_ADDR'));
if(isset($_SESSION["user"]) && isset($_SESSION["token"])) {
//Get session
$clientID = preg_replace('#[^a-z0-9]#i', '', $_SESSION['user']);
$token = preg_replace('#[^a-z0-9]#i', '', $_SESSION['token']);
// Verify the user with session data
$user_ok = checkUser($db_connect,$clientID,$token,$user_IP);
} else if(isset($_COOKIE["user"]) && isset($_COOKIE["token"])){
//Set session from cookie
$_SESSION['user'] = preg_replace('#[^a-z0-9]#i', '', $_COOKIE['user']);
$_SESSION['token'] = preg_replace('#[^a-z0-9]#i', '', $_COOKIE['token']);
//Get session data
$clientID = preg_replace('#[^a-z0-9]#i', '', $_SESSION['user']);;
$token = preg_replace('#[^a-z0-9]#i', '', $_SESSION['token']);
// Verify the user
$user_ok = checkUser($db_connect,$clientID,$token,$user_IP);
}
// User Verify function
function checkUser($db_connect,$user,$token,$ip){
//Grab the session
$sql = "SELECT session_token FROM user_sessions WHERE userID='$user' AND ip='$ip' LIMIT 1";
$query = mysqli_query($db_connect, $sql);
if(mysqli_num_rows($query)>0){
$row=mysqli_fetch_row($query);
$token_hashed=$row[0];
//compare token given and hashed token
if(password_verify($token,$token_hashed)==true)
{
return true;
}
else
{
return false;
}
}
else
{
return false;
}
}
所以我的问题:此代码足够安全吗?
如何更安全?
同样,如果您对这个难题中发生的事情有任何了解,请让我知道,因为我被销毁了。预先感谢您。
挖掘后,我意识到问题在于试图将会话固定到单个IP地址。
我们在我们的网站上运行CloudFlare,因此getenv('REMOTE_ADDR')
有时会返回CloudFlare的IP地址,而不是客户端IP地址。这引起了登录。
,但我认为我可以根据评论回答自己的问题。为了使脚本更安全并停止定期注销,我应该:
- 始终使用准备好的语句防止SQL注入 在
occam的剃须刀是解决问题的原则,基本上指出,简单的解决方案比复杂的解决方案更可能是正确的。