PHP oturumları için kurabiye güvenli mi?

0 Cevap php

Ben benim oturumları sağlamak için çalışıyorum. Biraz araştırma yaparken, Ajan ve IP tabanlı PHP'nin PHPSESSID + rastgele kıyım gaspına karşı korumak için yeterince iyi olduğunu düşündük. Gerçekten, başka ne yapabilirim.

Ben giriş için HTTPS kullanıyorum. Bildiğim kadarıyla anlayabileceği gibi, PHP oturum verileri kullanıcıya gönderilen, ancak daha çok sunucu tarafında saklanan asla. Istemci yalnızca oturum için kimliği alır. Oturum verileri sırayla giriş geçerli olup olmadığını kontrol etmek için kullanılır gerçek WebAPP kullanıcı oturumunu, tutar. Tüm ince ve züppe.

Ancak, ben hiçbir yerde bulamıyorum bir detay var. Ben HTTPS kullanarak ediyorsam PHP session id içeren çerez, otomatik olarak güvenli işaretlenmiş olup olmadığını bilmek istiyorum. Biraz google arama yaptım ama ben sadece elle çerezleri gönderme yollarını bulmak için doğru arama dizesini almak gibiydi asla. Bu çerez düz metin gönderilir ise, insanın-in-the-orta yoluyla bazı güvenlik tehlikeye çünkü ben bilmek istiyorum.

EDIT 1

Bu @ ircmaxell için bir ektir

Ben senin yöntemi denedim ama geri HTTP, HTTPS geçiş zaman nasılsa hala çerez olsun. Çalışması gereken yol şudur. Sunucu bir kullanıcı oturumu mevcut olduğunu farkında olduğu zaman, bu güvenli bayrağını ayarlar. Bu sitenin tamamı kısa sürede oturum gibi SSL üzerinde çalışan ve SSL kullanmayın zaman kullanmak / uzakta kurabiye vermek reddediyor anlamına gelir. Ya da en azından, bu fikir.

if ($SysKey['user']['session_id'] != '') {
   session_set_cookie_params(60*60*24*7, '/', $SysKey['server']['site'], true, true);
}

Ben Browser zaten giriş yapmadan önce çerez vardı beri kimliği yeniden gerekir ama ben sadece bir kaç saat içinde bunu deneyebilirsiniz beri, ben denemeden önce burada isteyeceğiz varsayalım

NOTES TO SOLUTION

Ben sadece oturumu başlamadan önce bu ayarları ayarlamak zorunda olduğunu öğrendim. O benim sorunum oldu. Ben şimdi 2 farklı tanımlama kullanıyorum. Sadece ssl yoluyla gönderilen kullanıcılar giriş http yoluyla gönderilen düzenli Konuk ve bir saniye biri.

0 Cevap