關於使用cookie和會話的PHP安全性,這是我迄今爲止預防攻擊所做的工作。我做了什麼不正確/不安全?用於cookie和會話的php安全
的login.php
if ($username==$dbusername&&$hashed_password==$dbpassword){
setcookie('username[0]',$username,time()+(60*60*24*365));
setcookie('username[1]',$userid,time()+(60*60*24*365));
setcookie('password',$hashed_password,time()+(60*60*24*365));
if($admin=='1') {
setcookie('username[3]',$admin,time()+(60*60*24*365));
}
$_SESSION['logged-in']=1;
logout.php
$time = time()-(60*60*24*365);
setcookie('username[0]', '',$time);
setcookie('username[1]', '',$time);
setcookie('username[2]', '',$time);
setcookie('username[3]', '',$time);
setcookie('password', '',$time);
unset($_COOKIE['username']);
unset($_SESSION['logged-in']);
我打電話session_regenerate_id()上everypage,是正確的阻止會話固定/劫持?
<?php session_start(); session_regenerate_id();
這裏是我的php.ini什麼其他的方式做我爲會議提供安全&餅乾
session.use_trans_sid = 0
session.user_only_cookies = 1
任何例子/ impovements歡迎,因爲我學會用例子更好。
這是http://codereview.stackexchange.com的用途。 –
哇。從來不知道codereview.stackexchange.com。你每天都會學到新東西,是吧? – Andrew
並且不,該代碼不安全。任何人都可以添加cookie'username [3] = 1'併成爲admin。 –