用PHP维护负责任的会话安全性有哪些指导原则?网络上到处都是信息,是时候把所有的信息都集中在一个地方了!
发布于 2008-08-02 02:43:43
一个指导原则是在每次会话的安全级别发生变化时调用session_regenerate_id。这有助于防止会话劫持。
发布于 2008-08-02 02:55:08
我认为其中一个主要问题(在PHP6中正在解决)是register_globals。现在,避免使用register_globals
的标准方法之一是使用$_REQUEST
、$_GET
或$_POST
数组。
要做到这一点,“正确”的方法(从5.2开始,虽然有一点小问题,但在6版本中是稳定的,很快就会出现)是通过filters。
因此,不是:
$username = $_POST["username"];
你会这样做:
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
或者仅仅是:
$username = filter_input(INPUT_POST, 'username');
发布于 2009-03-05 22:33:27
This session fixation paper对可能发生攻击的地方有很好的提示。另请参见session fixation page at Wikipedia。
https://stackoverflow.com/questions/328
复制相似问题