用户登录之cookie信息安全一二事,cookie信息安全_PHP教程
用户登录之cookie信息安全一二事,cookie信息安全
大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,
并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。
下面就说说平常一些防止用户登录cookie信息安全的方法:
一、cookie信息加密法
cookie信息加密法即用一种加密方法,加密用户信息,然后在存入cookie,这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用,无法另外伪造cookie信息。
这里附上一个加密函数:
<!--?<span>php
</span><span>function</span> authcode(<span>$string</span>, <span>$operation</span> = 'DECODE', <span>$key</span> = '', <span>$expiry</span> = 0<span>) {
</span><span>//</span><span> 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙 </span>
<span>$ckey_length</span> = 4<span>;
</span><span>//</span><span> 密匙 </span>
<span>$key</span> = <span>md5</span>(<span>$key</span> ? <span>$key</span> : <span>$GLOBALS</span>['discuz_auth_key'<span>]);
</span><span>//</span><span> 密匙a会参与加解密 </span>
<span>$keya</span> = <span>md5</span>(<span>substr</span>(<span>$key</span>, 0, 16<span>));
</span><span>//</span><span> 密匙b会用来做数据完整性验证 </span>
<span>$keyb</span> = <span>md5</span>(<span>substr</span>(<span>$key</span>, 16, 16<span>));
</span><span>//</span><span> 密匙c用于变化生成的密文 </span>
<span>$keyc</span> = <span>$ckey_length</span> ? (<span>$operation</span> == 'DECODE' ? <span>substr</span>(<span>$string</span>, 0, <span>$ckey_length</span>):
<span>substr</span>(<span>md5</span>(<span>microtime</span>()), -<span>$ckey_length</span>)) : ''<span>;
</span><span>//</span><span> 参与运算的密匙 </span>
<span>$cryptkey</span> = <span>$keya</span>.<span>md5</span>(<span>$keya</span>.<span>$keyc</span><span>);
</span><span>$key_length</span> = <span>strlen</span>(<span>$cryptkey</span><span>);
</span><span>//</span><span> 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),
//解密时会通过这个密匙验证数据完整性
// 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确 </span>
<span>$string</span> = <span>$operation</span> == 'DECODE' ? <span>base64_decode</span>(<span>substr</span>(<span>$string</span>, <span>$ckey_length</span>)) :
<span>sprintf</span>('%010d', <span>$expiry</span> ? <span>$expiry</span> + <span>time</span>() : 0).<span>substr</span>(<span>md5</span>(<span>$string</span>.<span>$keyb</span>), 0, 16).<span>$string</span><span>;
</span><span>$string_length</span> = <span>strlen</span>(<span>$string</span><span>);
</span><span>$result</span> = ''<span>;
</span><span>$box</span> = <span>range</span>(0, 255<span>);
</span><span>$rndkey</span> = <span>array</span><span>();
</span><span>//</span><span> 产生密匙簿 </span>
<span>for</span>(<span>$i</span> = 0; <span>$i</span> <= 255; <span>$i</span>++<span>) {
</span><span>$rndkey</span>[<span>$i</span>] = <span>ord</span>(<span>$cryptkey</span>[<span>$i</span> % <span>$key_length</span><span>]);
}
</span><span>//</span><span> 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上对并不会增加密文的强度 </span>
<span>for</span>(<span>$j</span> = <span>$i</span> = 0; <span>$i</span> < 256; <span>$i</span>++<span>) {
</span><span>$j</span> = (<span>$j</span> + <span>$box</span>[<span>$i</span>] + <span>$rndkey</span>[<span>$i</span>]) % 256<span>;
</span><span>$tmp</span> = <span>$box</span>[<span>$i</span><span>];
</span><span>$box</span>[<span>$i</span>] = <span>$box</span>[<span>$j</span><span>];
</span><span>$box</span>[<span>$j</span>] = <span>$tmp</span><span>;
}
</span><span>//</span><span> 核心加解密部分 </span>
<span>for</span>(<span>$a</span> = <span>$j</span> = <span>$i</span> = 0; <span>$i</span> < <span>$string_length</span>; <span>$i</span>++<span>) {
</span><span>$a</span> = (<span>$a</span> + 1) % 256<span>;
</span><span>$j</span> = (<span>$j</span> + <span>$box</span>[<span>$a</span>]) % 256<span>;
</span><span>$tmp</span> = <span>$box</span>[<span>$a</span><span>];
</span><span>$box</span>[<span>$a</span>] = <span>$box</span>[<span>$j</span><span>];
</span><span>$box</span>[<span>$j</span>] = <span>$tmp</span><span>;
</span><span>//</span><span> 从密匙簿得出密匙进行异或,再转成字符 </span>
<span>$result</span> .= <span>chr</span>(<span>ord</span>(<span>$string</span>[<span>$i</span>]) ^ (<span>$box</span>[(<span>$box</span>[<span>$a</span>] + <span>$box</span>[<span>$j</span>]) % 256<span>]));
}
</span><span>if</span>(<span>$operation</span> == 'DECODE'<span>) {
</span><span>//</span><span> 验证数据有效性,请看未加密明文的格式 </span>
<span>if</span>((<span>substr</span>(<span>$result</span>, 0, 10) == 0 || <span>substr</span>(<span>$result</span>, 0, 10) - <span>time</span>() --> 0) &&
<span>substr</span>(<span>$result</span>, 10, 16) == <span>substr</span>(<span>md5</span>(<span>substr</span>(<span>$result</span>, 26).<span>$keyb</span>), 0, 16<span>)) {
</span><span>return</span> <span>substr</span>(<span>$result</span>, 26<span>);
} </span><span>else</span><span> {
</span><span>return</span> ''<span>;
}
} </span><span>else</span><span> {
</span><span>//</span><span> 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
// 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码 </span>
<span>return</span> <span>$keyc</span>.<span>str_replace</span>('=', '', <span>base64_encode</span>(<span>$result</span><span>));
}
}
</span><span>$str</span> = 'abcdef'<span>;
</span><span>$key</span> = 'www.phpskill.com'<span>;
</span><span>echo</span> <span>$jm</span> = authcode(<span>$str</span>,'ENCODE',<span>$key</span>,0); <span>//</span><span>加密 </span>
<span>echo</span> "
"<span>;
</span><span>echo</span> authcode(<span>$jm</span> ,'DECODE',<span>$key</span>,0); <span>//</span><span>解密</span>
?>这样当设置用户信息的cookie时,就无法对其进行伪造:
<!--?<span>php
</span><span>$user</span> = <span>array</span>("uid"=--><span>$uid</span>,"username"=><span>$username</span><span>);
</span><span>$user</span> = <span>base64_encode</span>(<span>serialize</span>(<span>$user</span><span>));
</span><span>$user</span> = authcode(<span>$user</span>,'ENCODE','www.phpskill.com',0); <span>//</span><span>加密 </span>
<span>setcookie</span>("user",<span>$user</span>,<span>time</span>()+3600*24<span>);
</span>?>二、用加密令牌对cookie进行保护
<span>$hash</span> = <span>md5</span>(<span>$uid</span>.<span>time</span>());<span>//</span><span>加密令牌值</span>
<span>$hash_expire</span> =<span>time</span>()+3600*24;<span>//</span><span>加密令牌值为一天有效期</span>
<span>$user</span> = <span>array</span>("uid"=><span>$uid</span>,"username"=><span>$username</span>,"hash"=><span>$hash</span><span>);
</span><span>$user</span> = <span>base64_encode</span>(<span>serialize</span>(<span>$user</span><span>));
</span><span>setcookie</span>("user",<span>$user</span>,<span>$hash_expr</span><span>);
然后把</span><span>$hash和$hash_expire</span> 存入member表中hash和hash_expire对应字段中,<span>也可以存入nosql,session
用户伪造cookie时,hash无法伪造</span>,<span>伪造的hash和数据库中的不一致
用户每次登陆,这个hash_expire有效期内不更新hash值,过期则更新</span>
php纯技术交流群: 323899029
原文转载于:http://www.phpskill.com/html/show-1-4424-1.html
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7564
15
1386
52
86
11
61
19
28
99
Google 크롬에서 Roblox 403 금지 오류를 수정하는 방법
May 19, 2023 pm 01:49 PM
최근 많은 Windows 사용자가 Google Chrome 브라우저에서 웹사이트 URL에 액세스하는 동안 Roblox403 Forbidden Error라는 비정상적인 오류가 발생했습니다. Chrome 앱을 여러 번 다시 시작해도 아무 작업도 수행할 수 없습니다. 이 오류에는 여러 가지 잠재적인 원인이 있을 수 있으며 그 중 일부는 아래에 설명되어 있습니다. Chrome의 검색 기록 및 기타 캐시와 손상된 데이터 불안정한 인터넷 연결 잘못된 웹사이트 URL 타사 소스에서 설치된 확장 프로그램 위의 모든 측면을 고려한 후 사용자가 이 문제를 해결하는 데 도움이 될 수 있는 몇 가지 수정 사항을 찾아냈습니다. 동일한 문제가 발생하면 이 문서의 해결 방법을 확인하세요. 수정 1
컴퓨터의 쿠키는 어디에 있습니까?
Dec 22, 2023 pm 03:46 PM
컴퓨터의 쿠키는 사용된 브라우저 및 운영 체제에 따라 브라우저의 특정 위치에 저장됩니다. 1. Google Chrome, C:\Users\YourUsername\AppData\Local\Google\Chrome\User Data\Default\Cookies에 저장됨 등.
쿠키는 어디에 저장되나요?
Dec 20, 2023 pm 03:07 PM
쿠키는 일반적으로 브라우저의 쿠키 폴더에 저장되며, 브라우저의 쿠키 파일은 일반적으로 바이너리 또는 SQLite 형식으로 저장됩니다. 쿠키 파일을 직접 열면 일부 왜곡되거나 읽을 수 없는 내용이 나타날 수 있으므로 사용하는 것이 가장 좋습니다. 쿠키를 보고 관리하기 위해 귀하의 브라우저에서 제공하는 쿠키 관리 인터페이스.
모바일 쿠키는 어디에 있나요?
Dec 22, 2023 pm 03:40 PM
휴대폰의 쿠키는 모바일 장치의 브라우저 애플리케이션에 저장됩니다. 1. iOS 장치의 경우 쿠키는 Safari 브라우저의 설정 -> Safari -> 고급 -> 웹사이트 데이터에 저장됩니다. 2. Android 장치의 경우 쿠키가 저장됩니다. 설정 -> 사이트 설정 -> 크롬 브라우저의 쿠키 등에서
쿠키 작동 방식
Sep 20, 2023 pm 05:57 PM
쿠키의 작동 원리에는 쿠키를 보내는 서버, 쿠키를 저장하는 브라우저, 쿠키를 처리하고 저장하는 브라우저가 포함됩니다. 자세한 소개: 1. 서버는 쿠키를 보내고, 서버는 쿠키가 포함된 HTTP 응답 헤더를 브라우저에 보냅니다. 2. 브라우저는 쿠키 등을 저장합니다.
브라우저 쿠키가 저장되는 위치에 대한 자세한 설명
Jan 19, 2024 am 09:15 AM
인터넷의 대중화로 인해 우리는 브라우저를 사용하여 인터넷 서핑을 하는 것이 생활 방식이 되었습니다. 브라우저를 일상적으로 사용하다 보면 온라인 쇼핑, 소셜 네트워킹, 이메일 등 계정 비밀번호를 입력해야 하는 상황에 자주 직면하게 됩니다. 이 정보는 다음에 방문할 때 다시 입력할 필요가 없도록 브라우저에 기록되어야 합니다. 이때 쿠키가 유용합니다. 쿠키란 무엇입니까? 쿠키는 서버가 사용자의 브라우저에 전송하고 로컬에 저장되는 작은 데이터 파일을 말하며 일부 웹사이트의 사용자 행동을 포함합니다.
쿠키 유출의 위험은 무엇입니까?
Sep 20, 2023 pm 05:53 PM
쿠키 유출의 위험에는 개인 신원 정보 도용, 개인 온라인 행동 추적, 계정 도용 등이 포함됩니다. 자세한 소개: 1. 이름, 이메일 주소, 전화번호 등과 같은 개인 신원 정보가 도난당했습니다. 이 정보는 범죄자가 신원 도용 및 사기와 같은 불법 활동을 수행하는 데 사용될 수 있습니다. 범죄자는 쿠키를 통해 사용자의 검색 기록, 쇼핑 선호도, 취미 등을 알 수 있습니다. 3. 로그인 인증을 우회하고 사용자 계정에 직접 접근하는 등의 행위가 가능합니다.
쿠키를 지우면 영향이 있나요?
Sep 20, 2023 pm 06:01 PM
쿠키 삭제의 영향에는 개인화 설정 및 기본 설정 재설정, 광고 경험 영향, 로그인 상태 및 비밀번호 기억 기능 파괴 등이 포함됩니다. 자세한 소개: 1. 개인 설정 및 기본 설정을 재설정합니다. 쿠키가 삭제되면 장바구니가 비워지고 제품을 다시 추가해야 합니다. 쿠키를 삭제하면 소셜 미디어 플랫폼의 로그인 상태도 손실되므로 필요합니다. 2. 쿠키가 삭제되면 웹사이트는 당사의 관심사와 선호도를 이해할 수 없으며 관련 없는 광고 등을 표시하게 됩니다.
