Maison  >  Article  >  développement back-end  >  Explication détaillée de l'utilisation et exemples de sécurité des informations sur les cookies pour la connexion des utilisateurs PHP

Explication détaillée de l'utilisation et exemples de sécurité des informations sur les cookies pour la connexion des utilisateurs PHP

墨辰丷
墨辰丷original
2018-06-02 11:36:092206parcourir

Cet article présente principalement la sécurité des informations sur les cookies de la connexion de l'utilisateur PHP, et présente les deux techniques de protection de la sécurité des informations sur les cookies, à savoir le cryptage des cookies et la protection des jetons. Les amis dans le besoin peuvent s'y référer

Tout le monde connaît l'utilisateur après. Lors de la connexion, les informations utilisateur seront généralement enregistrées dans des cookies, car les cookies sont enregistrés côté client et les cookies peuvent être librement modifiés côté client à l'aide du navigateur. Cela entraînera un risque de falsification de cookies utilisateur, ce qui peut entraîner une falsification. cookies pour se connecter. Compte de tout utilisateur.

Voici quelques moyens courants pour empêcher les utilisateurs de se connecter à la sécurité des informations sur les cookies :

1. Méthode de cryptage des informations sur les cookies

Cryptage des informations sur les cookies La méthode consiste à utiliser une méthode de cryptage pour crypter les informations de l'utilisateur, puis à stocker le cookie. De cette manière, même si le faussaire obtient le cookie, il ne peut utiliser le cookie que pendant la période de validité du cookie et ne peut pas falsifier d'informations supplémentaires sur le cookie.

Voici ci-joint une fonction de cryptage :

<?php
function authcode($string, $operation = &#39;DECODE&#39;, $key = &#39;&#39;, $expiry = 0) {
  // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
  $ckey_length = 4;
  // 密匙
  $key = md5($key ? $key : $GLOBALS[&#39;discuz_auth_key&#39;]);
  // 密匙a会参与加解密
  $keya = md5(substr($key, 0, 16));
  // 密匙b会用来做数据完整性验证
  $keyb = md5(substr($key, 16, 16));
  // 密匙c用于变化生成的密文
  $keyc = $ckey_length ? ($operation == &#39;DECODE&#39; ? substr($string, 0, $ckey_length):
substr(md5(microtime()), -$ckey_length)) : &#39;&#39;;
  // 参与运算的密匙
  $cryptkey = $keya.md5($keya.$keyc);
  $key_length = strlen($cryptkey);
  // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),
//解密时会通过这个密匙验证数据完整性
  // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
  $string = $operation == &#39;DECODE&#39; ? base64_decode(substr($string, $ckey_length)) :
sprintf(&#39;%010d&#39;, $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
  $string_length = strlen($string);
  $result = &#39;&#39;;
  $box = range(0, 255);
  $rndkey = array();
  // 产生密匙簿
  for($i = 0; $i <= 255; $i++) {
    $rndkey[$i] = ord($cryptkey[$i % $key_length]);
  }
  // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上对并不会增加密文的强度
  for($j = $i = 0; $i < 256; $i++) {
    $j = ($j + $box[$i] + $rndkey[$i]) % 256;
    $tmp = $box[$i];
    $box[$i] = $box[$j];
    $box[$j] = $tmp;
  }
  // 核心加解密部分
  for($a = $j = $i = 0; $i < $string_length; $i++) {
    $a = ($a + 1) % 256;
    $j = ($j + $box[$a]) % 256;
    $tmp = $box[$a];
    $box[$a] = $box[$j];
    $box[$j] = $tmp;
    // 从密匙簿得出密匙进行异或,再转成字符
    $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
  }
  if($operation == &#39;DECODE&#39;) {
    // 验证数据有效性,请看未加密明文的格式
    if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() --> 0) &&
substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
      return substr($result, 26);
    } else {
      return &#39;&#39;;
    }
  } else {
    // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
    // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
    return $keyc.str_replace(&#39;=&#39;, &#39;&#39;, base64_encode($result));
  }
}
$str = &#39;abcdef&#39;;
$key = &#39;www.jb51.net&#39;;
echo $jm = authcode($str,&#39;ENCODE&#39;,$key,0); //加密
echo "
";
echo authcode($jm ,&#39;DECODE&#39;,$key,0); //解密
?>

Pour que lorsque le cookie des informations de l'utilisateur est défini, il ne puisse pas être falsifié :

<?php
$user = array("uid"=-->$uid,"username"=>$username);
$user = base64_encode(serialize($user));
$user = authcode($user,&#39;ENCODE&#39;,&#39;www.jb51.net&#39;,0); //加密
setcookie("user",$user,time()+3600*24);
?>

2. Utilisez un jeton de cryptage pour protéger le cookie

$hash = md5($uid.time());//加密令牌值
$hash_expire =time()+3600*24;//加密令牌值为一天有效期
$user = array("uid"=>$uid,"username"=>$username,"hash"=>$hash);
$user = base64_encode(serialize($user));
setcookie("user",$user,$hash_expr);

puis stockez $hash et $hash_expire dans les champs correspondants de hash et hash_expire dans la table des membres. Vous pouvez également le stocker dans nosql. , session

Lorsque l'utilisateur falsifie des cookies, le hachage ne peut pas être falsifié et le hachage falsifié est incohérent avec la base de données

Chaque fois que l'utilisateur se connecte, la valeur de hachage de ce hash_expire ne sera pas sera mis à jour pendant la période de validité, et sera mis à jour à son expiration

Résumé : Ce qui précède est l'intégralité du contenu de cet article, j'espère qu'il sera utile à l'étude de chacun.

Recommandations associées :

PHP identifie automatiquement le terminal mobile actuellement utilisé

Exemple de données JSON formatées par fonction personnalisée PHP

Explication détaillée de l'exemple principal de fonctionnement en chaîne en PHP

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn