Безопасность сессии в PHP

PHP, Вопросы и ответы
21 февраля 2012

Вопрос

Каким основным принципам следует следовать для достижения максимальной безопасности при работе с сессиями на PHP?


Ответ №1

Есть несколько правил, которым необходимо следовать, чтобы повысить безопасность работы с сесиями:

  • Используйте SSL, когда авторизованные пользователи выполняют важные операции.
  • Обновляйте id сессии, когда уровень безопасности меняется (например, пользователь входит). Вы можете даже обновлять id сессии каждый запрос, если хотите.
  • Задавайте время жизни сессии.
  • Не используйте Register_Globals.
  • Храните данные аутентификации на сервере. То есть, не отправляйте подробностей, таких как имя пользователя, в cookie.
  • Проверяйте $_SERVER['HTTP_USER_AGENT']. Это немного понизит вероятность взлома сессии. Можете даже сохранять IP-адреса.
  • Ограничивайте доступ к сессиям из файловой системы или используйте пользовательские обработчики сессии.
  • При важных операциях просите пользователя заново ввести свои данные аутентификации.

Нет комментариев

Добавить комментарий


(обязательно)