php - 防止会话劫持、固定、注入等
问题描述
我正在创建一个登录系统,我已经阅读了很多关于防止会话劫持、固定和注入攻击等所需的安全措施。我绝对不是安全专家——我在帮助下拼凑了很多来自本网站和其他各种帖子。这两个 Stack Overflow 帖子特别有帮助:Link Link 2
在阅读了这些之后,我最终对我的系统进行了很多更改和改进,但我不确定我是否受到了所有保护。以下是我到目前为止的想法。我怀疑有些是对的,有些是错的,有些可能是多余的。这是发生的基本流程:
<?php
// convert password to hash
function passwordHash($string) {
return password_hash($string, PASSWORD_DEFAULT);
}
// compare password to hash
function passwordVerify($string, $hash) {
return password_verify($string, $hash);
}
// authenticate login password
function login($submitted_password, $password, $username) {
global $link;
if(passwordVerify($submitted_password, $password)) {
ini_set('session.use_trans_sid', FALSE);
ini_set('session.entropy_file', '/dev/urandom');
ini_set('session.hash_function', 'whirlpool');
ini_set('session.use_only_cookies', TRUE);
ini_set('session.cookie_httponly', TRUE);
ini_set('session.cookie_lifetime', 1200);
ini_set('session.cookie_secure', TRUE);
session_start();
$link->query("SELECT id, password, username, user_level FROM users WHERE username = :username");
$link->bind(':username', $username);
$link->execute();
$row = $link->getOneRow();
$link->closeStream();
$id = $row['id'];
$username = $row['username'];
$user_level = $row['user_level'];
$_SESSION['userID'] = $id;
$_SESSION['username'] = $username;
$_SESSION['user_level'] = $user_level;
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
$_SESSION['HTTP_USER_AGENT'] = $_SERVER['HTTP_USER_AGENT'];
// store in db to use in page_protect()
$user_ip = $_SERVER['REMOTE_ADDR'];
$useragent_hash = passwordHash($_SESSION['HTTP_USER_AGENT']);
$link->query("UPDATE users SET user_ip = :user_ip, useragent_hash = :useragent_hash WHERE id = :id");
$link->bind(':user_ip', $user_ip);
$link->bind(':useragent_hash', $useragent_hash);
$link->bind(':id', $id);
$link->execute();
$link->closeStream();
header("Location: dashboard.php");
exit();
} else {
$error = "Username or password error"; // password fails
}
}
// function called by every page requiring you to be logged in
function page_protect() {
global $link;
if (session_status() == PHP_SESSION_NONE) {
session_start();
}
if(!isset($_SESSION['user_ip']) || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR']) {
logout();
exit();
}
// referenced in question #5 below
if (!isset($_SESSION['HTTP_USER_AGENT']) || $_SERVER['HTTP_USER_AGENT'] != $_SESSION['HTTP_USER_AGENT']) {
logout();
exit();
}
// check that IP address/useragent hash stored in db at login match current session variables
$link->query("SELECT useragent_hash, user_ip FROM users WHERE username = :username");
$link->bind(':username', $_SESSION['username']);
$link->execute();
$row = $link->getOneRow();
$link->closeStream();
$user_ip = $row['user_ip'];
$useragent_hash = $row['useragent_hash'];
if($_SESSION['user_ip'] != $user_ip || !passwordVerify($_SESSION['HTTP_USER_AGENT'], $useragent_hash)) {
logout();
exit();
}
session_regenerate_id(true);
}
function logout() {
if (session_status() == PHP_SESSION_NONE) {
session_start();
}
unset($_SESSION);
session_unset();
session_destroy();
header("Location: index.php");
exit();
}
?>
1)我是否遗漏了任何东西或看起来有什么问题?
2)我不确定我是否在一个好地方使用 session_regenerate_id() 。我知道它需要定期调用,所以我认为每次调用受保护的页面都会很好。
3) #4 中的所有 ini_set 仅出现在 login 函数中的 session_start() 之前。但是,使用 page_protect() 保护的每个页面的顶部都有一个 session_start()。是否应该在每个页面上都使用相同的 ini_set,或者在初始登录期间设置它们之后,它们保持设置状态?
4)我应该删除这条线吗?ini_set('session.cookie_lifetime', 1200); 这将要求用户在 20 分钟后再次登录。我认为在 20 分钟不活动后注销用户会很好,但在站点周围移动 20 分钟后就不行了。
5) 在 page_protect 中,当我检查 ip 和用户代理哈希时,我应该使用 && 而不是 || 吗?如果这两个条件都满足,那么肯定有问题。
任何帮助是极大的赞赏。