会话模块无法保证你存储在会话中的信息只能被创建会话的用户本人可见。 你需要采取额外的手段来保护会话中的机密信息, 至于采取何种方式来保护机密信息, 取决于你在会话中存储的数据的机密程度。
session_start — 启动新会话或者重用现有会话
严格会话管理 (推荐学习:PHP编程从入门到精通)
目前,默认情况下,PHP 是以自适应的方式来管理会话的, 这种方式使用起来很灵活,但是同样也带来了一定的风险。
从 PHP 5.5.2 开始,新增加了一个配置项: session.use_strict_mode
。 当启用这个配置项,并且你所用的会话存储处理器支持的话,未经初始化的会话 ID 会被拒绝, 并为其生成一个全新的会话,这可以避免攻击者使用一个已知的会话 ID 来进行攻击。
例如,攻击者可以通过邮件给受害者发送一个包含会话 ID 的链接: http://example.com/page.php?PHPSESSID=123456789。
如果启用了 session.use_trans_sid
配置项, 那么受害者将会使用攻击者所提供的会话 ID 开始一个新的会话。 如果启用了 session.use_strict_mode
选项,就可以降低风险。
Warning
用户自定义的会话存储器也可以通过实现会话 ID 验证来支持严格会话模式。 建议用户在实现自己的会话存储器的时候, 一定要对会话 ID 的合法性进行验证。
在浏览器一侧,可以为用来保存会话 ID 的 cookie 设置域,路径, 仅允许 HTTP 访问,必须使用 HTTPS 访问等安全属性。 如果使用的是 PHP 7.3. 版本,还可以对 cookie 设置 SameSite 属性。 攻击者可以利用浏览器的这些特性来设置永久可用的会话 ID。
仅仅设置 session.use_only_cookies
配置项 无法解决这个问题。而 session.use_strict_mode
配置项 可以降低这种风险。设置 session.use_strict_mode=On
, 来拒绝未经初始化的会话 ID。
Note: 虽然使用 session.use_strict_mode
配置项 可以降低灵活会话管理方式所带来的风险, 攻击者还是通过利用 JavaScript 注入等手段, 强制用户使用由攻击者创建的并且经过了正常的初始化的会话 ID。
如何降低这种风向,可以参考本手册的建议部分。 如果你已经启用了 session.use_strict_mode
配置项, 同时使用基于时间戳的会话管理, 并且通过设置 session_regenerate_id()
配置项 来重新生成会话 ID, 那么,攻击者生成的会话 ID 就可以被删除掉了。
当发生对过期会话访问的时候, 你应该保存活跃会话的所有数据, 以备后续分析使用。 然后让用户退出当前的会话,并且重新登录。 防止攻击者继续使用“偷”来的会话。
Warning
对过期会话数据的访问并不总是意味着正在遭受攻击。 不稳定的网络状况,或者不正确的会话删除行为, 都会导致合法的用户产生访问过期会话数据的情况。
相关专题推荐:php session (包含图文、视频、案例)
Atas ialah kandungan terperinci php如何实现session的管理. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!