Ausführliche Erläuterung der Verwendung und Beispiele zur Cookie-Informationssicherheit für die PHP-Benutzeranmeldung

墨辰丷
Freigeben: 2023-03-29 14:18:02
Original
2213 Leute haben es durchsucht

Dieser Artikel stellt hauptsächlich die Cookie-Informationssicherheit der PHP-Benutzeranmeldung vor und stellt die beiden Cookie-Informationssicherheitsschutztechniken der Cookie-Verschlüsselung und des Token-Schutzes vor

Jeder kennt den Benutzer Danach Beim Anmelden werden Benutzerinformationen im Allgemeinen in Cookies gespeichert, da Cookies auf der Clientseite gespeichert werden und Cookies auf der Clientseite über den Browser frei geändert werden können. Dadurch besteht das Risiko, dass Benutzercookies gefälscht werden, was zu Fälschungen führen kann Cookies zum Anmelden. Das Konto eines beliebigen Benutzers.

Im Folgenden finden Sie einige gängige Methoden, um Benutzer daran zu hindern, sich bei der Cookie-Informationssicherheit anzumelden:

1. Cookie-Informationsverschlüsselungsmethode

Cookie-Informationsverschlüsselung Die Methode besteht darin, eine Verschlüsselungsmethode zu verwenden, um Benutzerinformationen zu verschlüsseln und dann das Cookie zu speichern. Auf diese Weise kann der Fälscher das Cookie nur innerhalb der Gültigkeitsdauer des Cookies verwenden und keine zusätzlichen Cookie-Informationen fälschen.

Hier ist eine Verschlüsselungsfunktion beigefügt:

<?php
function authcode($string, $operation = &#39;DECODE&#39;, $key = &#39;&#39;, $expiry = 0) {
  // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
  $ckey_length = 4;
  // 密匙
  $key = md5($key ? $key : $GLOBALS[&#39;discuz_auth_key&#39;]);
  // 密匙a会参与加解密
  $keya = md5(substr($key, 0, 16));
  // 密匙b会用来做数据完整性验证
  $keyb = md5(substr($key, 16, 16));
  // 密匙c用于变化生成的密文
  $keyc = $ckey_length ? ($operation == &#39;DECODE&#39; ? substr($string, 0, $ckey_length):
substr(md5(microtime()), -$ckey_length)) : &#39;&#39;;
  // 参与运算的密匙
  $cryptkey = $keya.md5($keya.$keyc);
  $key_length = strlen($cryptkey);
  // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),
//解密时会通过这个密匙验证数据完整性
  // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
  $string = $operation == &#39;DECODE&#39; ? base64_decode(substr($string, $ckey_length)) :
sprintf(&#39;%010d&#39;, $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
  $string_length = strlen($string);
  $result = &#39;&#39;;
  $box = range(0, 255);
  $rndkey = array();
  // 产生密匙簿
  for($i = 0; $i <= 255; $i++) {
    $rndkey[$i] = ord($cryptkey[$i % $key_length]);
  }
  // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上对并不会增加密文的强度
  for($j = $i = 0; $i < 256; $i++) {
    $j = ($j + $box[$i] + $rndkey[$i]) % 256;
    $tmp = $box[$i];
    $box[$i] = $box[$j];
    $box[$j] = $tmp;
  }
  // 核心加解密部分
  for($a = $j = $i = 0; $i < $string_length; $i++) {
    $a = ($a + 1) % 256;
    $j = ($j + $box[$a]) % 256;
    $tmp = $box[$a];
    $box[$a] = $box[$j];
    $box[$j] = $tmp;
    // 从密匙簿得出密匙进行异或,再转成字符
    $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
  }
  if($operation == &#39;DECODE&#39;) {
    // 验证数据有效性,请看未加密明文的格式
    if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() --> 0) &&
substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
      return substr($result, 26);
    } else {
      return &#39;&#39;;
    }
  } else {
    // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
    // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
    return $keyc.str_replace(&#39;=&#39;, &#39;&#39;, base64_encode($result));
  }
}
$str = &#39;abcdef&#39;;
$key = &#39;www.jb51.net&#39;;
echo $jm = authcode($str,&#39;ENCODE&#39;,$key,0); //加密
echo "
";
echo authcode($jm ,&#39;DECODE&#39;,$key,0); //解密
?>
Nach dem Login kopieren

Auf diese Weise kann das Cookie der Benutzerinformationen beim Setzen nicht gefälscht werden:

<?php
$user = array("uid"=-->$uid,"username"=>$username);
$user = base64_encode(serialize($user));
$user = authcode($user,&#39;ENCODE&#39;,&#39;www.jb51.net&#39;,0); //加密
setcookie("user",$user,time()+3600*24);
?>
Nach dem Login kopieren

2. Verwendung Verschlüsselung Das Token schützt das Cookie

$hash = md5($uid.time());//加密令牌值
$hash_expire =time()+3600*24;//加密令牌值为一天有效期
$user = array("uid"=>$uid,"username"=>$username,"hash"=>$hash);
$user = base64_encode(serialize($user));
setcookie("user",$user,$hash_expr);
Nach dem Login kopieren

und speichert dann $hash und $hash_expire in den entsprechenden Feldern von hash und hash_expire in der Mitgliedstabelle. Es kann auch in nosql, Sitzung

Benutzerfälschung Bei Verwendung von Cookies kann der Hash nicht gefälscht werden. Der gefälschte Hash stimmt nicht mit der Datenbank überein.

Jedes Mal, wenn sich der Benutzer anmeldet, wird der Hashwert während der Gültigkeitsdauer dieses Hash_Expire nicht aktualisiert. und es wird aktualisiert, wenn es abläuft

Zusammenfassung: Das ist alles für diesen Artikel. Der gesamte Inhalt des Artikels soll für das Studium aller hilfreich sein.

Verwandte Empfehlungen:

PHP identifiziert automatisch das aktuell verwendete mobile Endgerät

Beispiel für benutzerdefinierte PHP-Funktionsformatierte JSON-Daten

Detaillierte Erläuterung des Prinzipbeispiels der Kettenoperation in PHP

Das obige ist der detaillierte Inhalt vonAusführliche Erläuterung der Verwendung und Beispiele zur Cookie-Informationssicherheit für die PHP-Benutzeranmeldung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage