php.ini設置會話cookie安全

Question

我已閱讀會話中的一些安全帖子。儘管我在我的共享主機中使用php.ini配置了它的大部分內容，但有些我不能。

1）我找不到session.cookie_secure和session.cookie_httponly在我的php.ini中，因爲我還是PHP新手我不想在文件中添加這兩行而不知道任何後果。或者，我使用了編輯.htaccess的方法。不知道它是否工作或沒有。

IfModule php5_module<br> 
php_flag session.cookie_secure on<br> 
php_flag session.cookie_httponly on<br> 
/IfModule<br><br> 

此方法是否正常？

2）目前我運行的版本是5.3.28，php.net的說明是session.entropy_file支持很多unix系統，但是隻支持5.3.3以後的Windows支持，超過了我的版本。默認的php.ini有這個：

;session.entropy_length = 16 
;session.entropy_file = /dev/urandom 

我應該擔心還是我擔心得太多？

3）我應該使用setcookie還是setrawcookie？

4）爲安全起見，我正在關注Securely creating and destroying login sessions in PHP，我是否需要考慮？

Answer 1

1）這些應該肯定在你的php.ini文件中，但是它們會被註釋掉，這意味着它們以;開頭，你需要取消它們的註釋。如果由於某種原因，他們不在（他們會），你可以安全地添加他們。 2）如果沒有恰當的密碼學和安全知識，我不會開始改變熵值，默認情況下沒問題。

3）您應該使用setcookie()，因爲它會進行URL編碼，您可能需要。

4）是的，你需要考慮到這一點，非常重要。安全永遠不應該是事後的想法，閱讀後的所有材料，如果你不明白它瀏覽一下。網上有很多優秀的資源，我真的推薦通過OWASP閱讀。