位置: 编程技术 - 正文

浅谈php(codeigniter)安全性注意事项(浅谈一下新冠的好处)

编辑:rootadmin

推荐整理分享浅谈php(codeigniter)安全性注意事项(浅谈一下新冠的好处),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:浅谈是什么意思,浅谈中国式现代化3000字论文,浅谈一下新冠的好处,浅谈是什么意思,浅谈如何培养孩子的注意力,浅谈如何培养孩子的注意力,浅谈建筑地基基础加固施工技术亲,浅谈是什么意思,内容如对您有帮助,希望把文章链接给更多的朋友!

1、httponly

session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id。

要用框架的ci_session,更长的位数,httponly,这些默认都配好了。

不要用原生的phpsession,而要用ci_session。ci_session位数更长。

如果要用原生的session,应该这样设置(php.ini):

session.sid_length //sid的长度,这里要加长,默认的太短了

session.cookie_httponly = 1原生的session就会变成httponly了。

2、phpinfo

一定要关闭phpinfo页面,dump的请求信息可能会被攻击者利用。比如cookie信息。

3、强制全站https

通过cdn跳转,本地开发环境也要配https。如果有的环节不能使用https,比如消息推送,那么可以新建一个站点。

4、Strict mode

session.use_strict_mode = 1

只使用服务端自己生成的session id,不使用用户客户端生成的session id。

5、CSRF跨站请求伪造

A的cookie里有站点example.com的session id,并且未过期,B通过放一个图片在论坛上,引诱A去点击这个图片,这个图片会发起一个请求,请求伪装成example.com,A的浏览器信以为真,将example.com的cookie附加到了这个请求上面,这个请求信息被B的代码截获并且通过异步请求发送给了B,B通过这个cookie登录了A在example.com的账户。

CI有防CSRF机制,即他会在表单里面自动的插入一个隐藏的CSRF字段。需要进行如下设置:

application/config/config.php:

注意,这个开了以后,所有的向外站进行的请求都被阻止了。如果我们网站有向其他网站获取数据的行为,比如说调用api,那就不可以启用这个开关。

6、xss攻击

CI会对post数据进行xss过滤,只要这样调用:

只要加一个参数true,就可以对post的数据进行xss过滤。

7、重放

浅谈php(codeigniter)安全性注意事项(浅谈一下新冠的好处)

你把用户名密码加密了,传到服务器进行登录验证,攻击者并不需要解密你这些用户名密码,他只要把截获的这些数据包,重新再操作一次,就可以实现登录,这就是重放。

5、6的防御措施:每个表单包含一个隐藏的只能用一次的随机码token。

只用一次的token实现:redis 到期失效 使用后直接删掉

8、总结:用户安全登录流程

<1>session基本策略:

(1)session仅作会话session,关闭浏览器即失效;

(2)session的有效期设置得越短越安全,比如说秒;

(3)相应的需要修改session的刷新时间,比如说秒;

(4)设置用redis存储session。

配置如下:

在php.ini:

这个是session的有效期,默认是秒,即分钟,改为比如说秒。当秒后,客户端跟服务端这个sid对得上的话,也是无效的,应该在秒之前刷新一次页面更新sid,怎么更新下面有说;

在application/config/config.php:

<2>session id的刷新及session的过期时间区分:

注意:这些设置跟安全关系非常大,应该注意区分及使用。

上面说的session.gc_maxlifetime是什么意思?即一个session从产生,到过期不能用的时间。其实如果使用redis就清楚了,这个值就是使用redis保存sid的时候,设定的一个存续时间,这就很清楚了,当一个sid产生的时候就会把这个时间写进去,那么到了这个时间,这个key-value就会被删掉。

那么这个sess_time_to_update呢,这个顾名思义是刷新时间,这个时间是一个阈值,是指超过这个时间即刷新。并不是自动刷新,而是访问session的时候刷新!当我们在使用session的时候,他会去判断上次使用session跟这次使用session的间隔,如果间隔大于这个值,即刷新sid。这个使用,通常的表现就是我们在刷新页面,需要读取session以鉴权,那么就是在刷新页面的时候,两次间隔有超过这个时间,即刷新sid,那么结合上面的maxlifetime呢,就是刷新完之后session重新续命了,一个新的session写进去,连带一个重新开始的计时。

就是说呢,如果我们一会刷一下页面一会刷一下页面,那么必然会在必要的时候触发我们的刷新机制,那么我们的session就不会过期了,永远不会,如果经常性的在那里刷的话。如果两次刷新的时间间隔超过maxlifetime呢,这时会显示登录超时了,session已经没了,因为在过期了之后你去update,显然是不行了,update失败。

那么总结就是,这个maxlifetime决定了我们两次刷新之间不能超过多长时间,否则登录超时;而update呢肯定要小于maxlifetime,这是必然的,因为如果大于就无效了,因为过期了刷新没用。并且最好我觉得这个update最好是maxlifetime的一半以下。如果maxlifetime很长的话(希望改善用户体验,让用户老是登录超时总是不大好),那么这个update设的比较短也没关系,因为设的比较短的话,假设这个session被偷了那么有比较大的可能这个贼去使用的时候已经过期,安全性会比较高。

<2>one-times-tokens:

一次性的token

参考这个文章:

CSRF的攻击方式详解 黑客必备知识

老生常谈重放攻击的概念(必看篇)

以上这篇浅谈php(codeigniter)安全性注意事项就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持积木网。

php及codeigniter使用session-cookie的方法(详解) 1、读写cookie1原生setcookie('name','value',time)设置失败,没有正常写入浏览器,测试失败,原因未知2CI框架$this-input-set_cookie("views","test",);echo$_COOKIE["views"

php 根据自增id创建唯一编号类 在开发过程中,我们数据表一般都使用自增数字作为id主键,而id是数字型,不容易理解。我们把id按一定格式转为编号后,很容易根据编号知道代表的

详谈配置phpstorm完美支持Codeigniter(CI)代码自动完成(代码提示) 1、设置字体、风格代码主题选择Monokai会是彩色的代码。2、配置CI代码提示1下载代码提示项目:

标签: 浅谈一下新冠的好处

本文链接地址:https://www.jiuchutong.com/biancheng/292523.html 转载请保留说明!

上一篇:PHP基于新浪IP库获取IP详细地址的方法(php php.ini)

下一篇:php及codeigniter使用session-cookie的方法(详解)(phpqrcode)

  • 延期缴税申请需要先申报吗?
  • 企业所得税年报怎么查询
  • 出口销售收入要交增值税吗
  • 培训机构财务怎么做账
  • 小规模印花税是季报还是月报
  • 什么叫残保金减免
  • 开具了红字发票信息表的税额需要转出吗
  • 认缴注册资本的风险
  • 到银行购买结算凭证
  • 发生福利费的会计分录
  • 企业所得税汇算清缴补缴税款分录
  • 预缴企业所得税会计处理
  • 销售边角料计入什么科目
  • 银行代扣出口快递费用
  • 净利润增长率计算公式是什么意思
  • 股票回购后多久注销
  • 个人所得税必须得交吗
  • 异地开票需要在当地交税吗
  • 物流公司一般纳税人和小规模纳税人
  • 奖金个人所得税筹划
  • 董事会费汇算清缴计入什么科目
  • 未达到起征点销售额会计分录
  • 建筑行业暂估成本的会计分录怎么写
  • 做账的是什么会计
  • 跨年度取得发票会计分录
  • 年末应计提坏账准备为什么是负数
  • 弥补亏损企业类型都是一般企业吗
  • 进货折扣适用于什么条件
  • 期房怎么交易流程
  • Vue3+ElementPlus el-date-picker设置可选时间范围
  • php新手入门
  • php copy函数
  • chart.js教程
  • 拉马克是哪国人
  • php缓存机制有哪些
  • 委托银行贷款利息收入
  • “Ninja is required to load C++ extensions”解决方案
  • html-css
  • 季度销售额未超过30万元 季度中间
  • 项目资金支付
  • mongodb 入门
  • 公司采购不含税产品合法吗
  • 发票管理办法是法律吗
  • sql随机抽样
  • 业务招待费的进项票可以抵扣吗
  • 补贴收入是否缴纳个税
  • 企业出租房产增值税怎么计算
  • 企业如何做增值业务
  • 固定资产基本特点
  • 公司注销后退资需要交税吗
  • 检测费专用发票会计分录
  • 结转清理净损失怎么算
  • 金税盘缴销发票
  • 建筑服务的税率是
  • 股东之间转让股权有优先购买权吗
  • 会计凭证中转是什么
  • linux系统vim编辑readonly option
  • win10 下一代
  • ntfs跟fat32
  • 苹果mac录制屏幕
  • 安装fedora33
  • 在局域网内,什么可进行网络资料的共享
  • 安装ubuntu后无法进入windows
  • inc是什么软件
  • windows xp
  • Ghost XP SP3 YN8.0装机版 (雨林木风)
  • 电脑预装软件是什么意思
  • cocos lua js
  • cocos2dx入门
  • Android从零单排02_Eclipse搭建Android环境01
  • docker save -o
  • cssfixed中浮动
  • [置顶]游戏名:chivalry2
  • python数据清洗的方法有哪些
  • JavaScript中Number.MAX_VALUE属性的使用方法
  • js打开浏览器新的tab页
  • js面向对象编程实例
  • 登录电子税务局显示时间错误如果解决
  • 广州买房退税政策2020
  • 粮食的增值税税率怎么算
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设