Новые топики

Создать топик
Сортировать по: Просмотрам | Лайкам | Дате публикации

PHP Программирование Защита сессий в PHP

Использование cookie



По умолчанию вся информация о сессии, включая ID, передается в cookie. Некоторые пользователи отключают cookie в своих браузерах. В таком случае браузер будет передавать идентификатор сессии в URL (в виде ссылки).



www.example.org/index.php?PHPSESSID=n2cnj59d7s3p30



Здесь ID передается в открытом виде, в отличие от сессии, когда информация скрыта в HTTP-заголовке. Самым простым способом защиты от этого будет запрет передачи идентификатора сессии через адресную строку. Сделать это можно, прописав следующее в .htaccess:



php_flag session.use_only_cookies on


session.use_only_cookies определяет, будет ли модуль использовать только cookies для хранения идентификатора сессии на стороне клиента. Включение этого параметра предотвращает атаки с использованием идентификатора сессии, размещенного в URL.

Использование шифрования



Если на вашем сайте должна обрабатываться конфиденциальная информация, такая как номера кредитных карт (привет от Sony), следует использовать SSL3.0 или TSL1.0 шифрование. Для этого при установке cookie следует указывать true для параметра secure.



Если вы храните пароль сессии в переменной $_SESSION (все-таки лучше использовать sql), то не стоит хранить его в открытом виде.

Подробнее

Отправьте нам сообщение