Exposition des données de session de sécurité PHP (2)

Données de session exposées

Lorsque vous vous concentrez sur la prévention de l’exposition du code source, vos données de session ne sont que également menacées. Par défaut, SESSION est enregistrée dans le répertoire /tmp. Ceci est pratique dans de nombreuses situations, l'une d'elles étant que tous les utilisateurs disposent d'autorisations d'écriture sur /tmp, donc Apache a également l'autorisation d'écrire. Bien que les autres utilisateurs ne puissent pas lire ces fichiers de session directement depuis l'environnement shell, ils peuvent écrire un script simple pour le faire :

 <?php
 
  header(&#39;Content-Type: text/plain&#39;);
  session_start();
 
  $path = ini_get(&#39;session.save_path&#39;);
  $handle = dir($path);
 
  while ($filename = $handle->read())
  {
    if (substr($filename, 0, 5) == &#39;sess_&#39;)
    {
      $data =
file_get_contents("$path/$filename");
 
      if (!empty($data))
      {
        session_decode($data);
        $session = $_SESSION;
        $_SESSION = array();
        echo "Session [" . substr($filename, 5) .
"]\n";
        print_r($session);
        echo "\n--\n\n";
      }
    }
  }
 
  ?>

Ce script recherche les fichiers préfixés par sess_ dans le répertoire de sauvegarde des fichiers de session défini par session.save_path. Une fois le fichier trouvé, son contenu est analysé et son contenu est affiché à l'aide de la fonction print_r(). De cette façon, d'autres développeurs peuvent facilement obtenir les données de session de votre utilisateur.

La meilleure façon de résoudre ce problème est de stocker vos données de session dans une base de données protégée par un nom d'utilisateur et un mot de passe. L’accès à la base de données étant contrôlé, il existe une couche de protection supplémentaire. En appliquant les techniques mentionnées dans la section précédente, votre base de données peut fournir un endroit sûr pour vos données sensibles, mais vous devez rester vigilant car la sécurité de votre base de données devient de plus en plus importante.

Afin de sauvegarder les données de session dans la base de données, vous devez d'abord créer une table de données :

  CREATE TABLE sessions
  (
    id varchar(32) NOT NULL,
    access int(10) unsigned,
    data text,
    PRIMARY KEY (id)
  );

Si vous utilisez MySQL, la structure de la table est décrite comme suit :

 
  mysql> DESCRIBE sessions;
 
+--------+------------------+------+-----+---------+-------+
  | Field  | Type             | Null | Key | Default
| Extra |
 
+--------+------------------+------+-----+---------+-------+
  | id     | varchar(32)      |      | PRI |        
|       |
  | access | int(10) unsigned | YES  |     | NULL  
 |       |
  | data   | text             | YES  |     | NULL  
 |       |
 
+--------+------------------+------+-----+---------+-------+

Si vous souhaitez que les données de session soient enregistrées dans ce tableau, vous devez utiliser session_set_save_handler( ) fonction pour modifier le mécanisme de session intégré de PHP :

<?php
 
  session_set_save_handler(&#39;_open&#39;,
                           &#39;_close&#39;,
                           &#39;_read&#39;,
                           &#39;_write&#39;,
                           &#39;_destroy&#39;,
                           &#39;_clean&#39;);
 
  ?>

Chacun de ces six arguments est le nom d'un function que vous devez écrire.Ces fonctions gèrent les tâches suivantes :

Chacun des six paramètres ci-dessus représente le nom de la fonction que vous devez écrire. Ils gèrent les tâches suivantes ：

l Activer le stockage de session

l Désactiver le stockage de session

l Lire les données de session

l Écrire les données de session

l Détruire les données de session

l Effacer les anciennes données de session

J'utilise intentionnellement des noms significatifs afin que vous puissiez voir leur objectif en un coup d'œil. La dénomination est arbitraire, mais vous souhaiterez peut-être commencer par un trait de soulignement (comme indiqué ici) ou une autre convention de dénomination pour éviter les conflits de noms. Voici des exemples de ces fonctions (utilisant MySQL) :

 <?php
 
  function _open()
  {
    global $_sess_db;
 
    $db_user = $_SERVER[&#39;DB_USER&#39;];
    $db_pass = $_SERVER[&#39;DB_PASS&#39;];
    $db_host = &#39;localhost&#39;;
 
    if ($_sess_db = mysql_connect($db_host,
$db_user, $db_pass))
    {
      return mysql_select_db(&#39;sessions&#39;,
$_sess_db);
    }
 
    return FALSE;
  }
 
  function _close()
  {
    global $_sess_db;
 
    return mysql_close($_sess_db);
  }
 
  function _read($id)
  {
    global $_sess_db;
 
    $id = mysql_real_escape_string($id);
 
    $sql = "SELECT data
            FROM   sessions
            WHERE  id = &#39;$id&#39;";
 
    if ($result = mysql_query($sql, $_sess_db))
    {
      if (mysql_num_rows($result))
      {
        $record = mysql_fetch_assoc($result);
 
        return $record[&#39;data&#39;];
      }
    }
 
    return &#39;&#39;;
  }
 
  function _write($id, $data)
  {
    global $_sess_db;
 
    $access = time();
 
    $id = mysql_real_escape_string($id);
    $access = mysql_real_escape_string($access);
    $data = mysql_real_escape_string($data);
 
    $sql = "REPLACE
            INTO    sessions
            VALUES  (&#39;$id&#39;, &#39;$access&#39;,
&#39;$data&#39;)";
 
    return mysql_query($sql, $_sess_db);
  }
 
  function _destroy($id)
  {
    global $_sess_db;
 
    $id = mysql_real_escape_string($id);
 
    $sql = "DELETE
            FROM   sessions
            WHERE id = &#39;$id&#39;";
 
    return mysql_query($sql, $_sess_db);
  }
 
  function _clean($max)
  {
    global $_sess_db;
 
    $old = time() - $max;
    $old = mysql_real_escape_string($old);
 
    $sql = "DELETE
            FROM   sessions
            WHERE  access < &#39;$old&#39;";
 
    return mysql_query($sql, $_sess_db);
  }
 
  ?>

Vous devez appeler session_set_save_handler() avant session_start() ), mais vous pouvez définir les fonctions elles-mêmes n'importe où.

La beauté de ce processus est que vous n'avez pas besoin de modifier le code ou de changer la façon dont vous utilisez les sessions. $_SESSION existe toujours, le comportement reste le même, PHP génère et fournit toujours des identifiants de session, et les modifications de configuration liées à la session prendront également effet. Tout ce que vous avez à faire est d'appeler cette fonction (et de créer toutes les fonctions spécifiées par celle-ci) et PHP s'occupera du reste.

Ce qui précède est le contenu de PHP Security - Session Data Exposure (2). Pour plus de contenu connexe, veuillez faire attention au site Web PHP chinois (www.php.cn) !