PHP安全编程:记住登录状态的安全做法
来源:互联网 发布:js如何实现随机掉落 编辑:程序博客网 时间:2024/05/08 14:10
永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。
据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户名和密码,你只要简单地从cookie中读取它们即可。验证过程的其它部分与正常登录完全相同,因此该方案是一个简单的方案。
不过如果你确实是把用户名和密码存在cookie中的话,请立刻关闭该功能,同时阅读本节的余下内容以找到实现更安全的方案的一些思路。你将来还需要要求所有使用该cookie的用户修改密码,因为他们的验证信息已经暴露了。
永久登录需要一个永久登录cookie,通常叫做验证cookie,这是由于cookie是被用来在多个会话间提供稳定数据的唯一标准机制。如果该cookie提供永久访问,它就会造成对你的应用的安全的严重风险,所以你需要确定你保存在cookie中的数据只能在有限的时间段内用于身份验证。
第一步是设计一个方法来减轻被捕获的永久登录cookie造成的风险。尽管cookie被捕获是你需要避免的,但有一个深度防范流程是最好的,特别是因为这种机制即使是在一切运行正常的情况下,也会降低验证表单的安全性。这样,该cookie就不能基于任何提供永久登录的信息来产生,如用户密码。
为避免使用用户的密码,可以建立一个只供一次验证有效的标识:
1
<?php
2
3
$token
= md5(uniqid(rand(), TRUE));
4
5
?>
你可以把它保存在用户的会话中以把它与特定的用户相关联,但这并不能帮助你在多个会话间保持登录,这是一个大前提。因此,你必须使用一个不同的方法把这个标识与特定的用户关联起来。
由于用户名与密码相比要不敏感一些,你可以把它存在cookie中,这可以帮助验证程序确认提供的是哪个用户的标识。可是,一个更好的方法是使用一个不易猜测与发现的第二身份标识。考虑在保存用户名和密码的数据表中加入三个字段:第二身份标识(identifier),永久登录标识(token),以及一个永久登录超时时间(timeout)。
01
mysql> DESCRIBE users;
02
+------------+------------------+------+-----+---------+-------+
03
| Field | Type | Null | Key | Default | Extra |
04
+------------+------------------+------+-----+---------+-------+
05
| username | varchar(25) | | PRI | | |
06
| password | varchar(32) | YES | | NULL | |
07
| identifier | varchar(32) | YES | MUL | NULL | |
08
| token | varchar(32) | YES | | NULL | |
09
| timeout | int(10) unsigned | YES | | NULL | |
10
+------------+------------------+------+-----+---------+-------+
通过产生并保存一个第二身份标识与永久登录标识,你就可以建立一个不包含任何用户验证信息的cookie。
01
<?php
02
03
$salt
=
'SHIFLETT'
;
04
05
$identifier
= md5(
$salt
. md5(
$username
.
$salt
));
06
$token
= md5(uniqid(rand(), TRUE));
07
$timeout
= time() + 60 * 60 * 24 * 7;
08
09
setcookie(
'auth'
,
"$identifier:$token"
,
$timeout
);
10
11
?>
当一个用户使用了一个永久登录cookie的情况下,你可以通过是否符合几个标准来检查:
01
<?php
02
03
/* mysql_connect() */
04
/* mysql_select_db() */
05
06
$clean
=
array
();
07
$mysql
=
array
();
08
09
$now
= time();
10
$salt
=
'SHIFLETT'
;
11
12
list(
$identifier
,
$token
) =
explode
(
':'
,
$_COOKIE
[
'auth'
]);
13
14
if
(ctype_alnum(
$identifier
) && ctype_alnum(
$token
))
15
{
16
$clean
[
'identifier'
] =
$identifier
;
17
$clean
[
'token'
] =
$token
;
18
}
19
else
20
{
21
/* ... */
22
}
23
24
$mysql
[
'identifier'
] = mysql_real_escape_string(
$clean
[
'identifier'
]);
25
26
$sql
= "SELECT username, token, timeout
27
FROM users
28
WHERE identifier =
'{$mysql['
identifier
']}'
";
29
30
if
(
$result
= mysql_query(
$sql
))
31
{
32
if
(mysql_num_rows(
$result
))
33
{
34
$record
= mysql_fetch_assoc(
$result
);
35
36
if
(
$clean
[
'token'
] !=
$record
[
'token'
])
37
{
38
/* Failed Login (wrong token) */
39
}
40
elseif
(
$now
>
$record
[
'timeout'
])
41
{
42
/* Failed Login (timeout) */
43
}
44
elseif
(
$clean
[
'identifier'
] !=
45
md5(
$salt
. md5(
$record
[
'username'
] .
$salt
)))
46
{
47
/* Failed Login (invalid identifier) */
48
}
49
else
50
{
51
/* Successful Login */
52
}
53
54
}
55
else
56
{
57
/* Failed Login (invalid identifier) */
58
}
59
}
60
else
61
{
62
/* Error */
63
}
64
65
?>
你应该坚持从三个方面来限制永久登录cookie的使用。
- Cookie需在一周内(或更少)过期
- Cookie最好只能用于一次验证(在一次成功验证后即删除或重新生成)
- 在服务器端限定cookie在一周(或更少)时间内过期
如果你想要用户无限制的被记住,那只要是该用户的访问你的应用的频度比过期时间更大的话,简单地在每次验证后重新生成标识并设定一个新的cookie即可。
另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。
最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:
1
<?php
2
3
setcookie(
'auth'
,
'DELETED!'
, time());
4
5
?>
上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
http://www.nowamagic.net/librarys/veda/detail/2076 :出处
- PHP安全编程:记住登录状态的安全做法
- PHP安全编程:记住登录状态的安全做法
- PHP安全编程之记住登录状态的安全做法
- PHP记住登录状态的安全做法
- 记住登录状态的安全做法
- 记住密码的安全
- 从php/mysql的登录看安全
- PHP实现安全的自动登录
- 安全cookie登录状态设计方案
- PHP安全编程之PHP的安全模式
- PHP 使用session记住登录状态
- PHP 使用cookie实现记住登录状态
- PHP安全编程之网站安全设计的一些原则
- PHP安全编程之共享主机的源码安全
- PHP安全编程:网站安全设计的一些原则
- php编程安全指南
- PHP 安全编程建议
- php编程安全指南
- 四遥
- Win7下Platform Builder6.0出现"fatal error C1033: cannot open program database '' 解决方案
- HDU 1102 Constructing Roads
- [118]Pascal's Triangle
- 第7周项目二-成员函数、友元函数和一般函数之区别 点类
- PHP安全编程:记住登录状态的安全做法
- Qt中如何给按键加图标(或加背景图片)
- 新九州 -- 如何在类目里添加课程
- TranslateMessage()函数
- NOVA架构 nova-compute启动分析
- 远程连接mysql速度慢的解决方法
- NuSOAP webservice接口使用详解
- 用户和系统管理 使用bash shell
- 向正在运行的Linux应用程序注入代码