PHP의 코드이그나이터 보안 예방 조치에 대한 자세한 그래픽 설명

이 글은 주로 PHP 코드이그나이터의 보안 주의 사항을 소개합니다. 관심 있는 친구들이 참고하시면 도움이 될 것입니다.

1. httponly

session은 httponly여야 합니다. 그렇지 않으면 js를 사용하여 쿠키의 session_id를 얻을 수 있습니다.

프레임워크의 ci_session, 더 긴 비트 수, httponly를 사용해야 하며 모두 기본적으로 구성되어 있습니다.

기본 phpsession을 사용하지 말고 ci_session을 사용하세요. ci_session 숫자가 더 깁니다.

네이티브 세션을 사용하려면 다음과 같이 설정해야 합니다(php.ini):

session.sid_length //Sid 길이를 여기서 늘려야 합니다. 기본값은 너무 짧습니다

session.cookie_httponly = 1 기본 세션은 httponly가 됩니다.

2.phpinfo

반드시 phpinfo 페이지를 닫아주세요. 덤프 요청 정보가 공격자에게 사용될 수 있습니다. 쿠키 정보 등.

3. cdn을 통해 전체 사이트를 강제로 https

점프하게 하고, 로컬 개발 환경도 https를 갖추고 있어야 합니다. 메시지 푸시 등 일부 측면에서 https를 사용할 수 없는 경우 새 사이트를 만들 수 있습니다.

4.엄격 모드

session.use_strict_mode = 1

사용자 클라이언트에서 생성된 세션 ID가 아닌 서버 자체에서 생성된 세션 ID만 사용하세요.

5. CSRF 크로스 사이트 요청 위조

A의 쿠키에는 example.com 사이트의 세션 ID가 포함되어 있으며 B는 A가 이 사진을 클릭하도록 유인하기 위해 포럼에 사진을 게시합니다. 이 그림 A의 요청이 시작됩니다. A의 브라우저는 이를 사실로 믿고 B의 코드에 의해 B에게 전송됩니다. B는 이를 사용합니다. 쿠키는 example.com에서 A의 계정에 로그인합니다.

CI에는 CSRF 방지 메커니즘이 있습니다. 즉, 숨겨진 CSRF 필드를 양식에 자동으로 삽입합니다. 다음 설정을 지정해야 합니다.

application/config/config.php:

$config['csrf_protection'] = TRUE;

이 기능을 켜면 아웃바운드 사이트에 대한 모든 요청이 차단됩니다. 당사 웹사이트가 API 호출과 같이 다른 웹사이트에서 데이터를 얻는 동작을 하는 경우 이 스위치를 활성화할 수 없습니다.

6.

7. 재생

사용자 이름과 비밀번호를 암호화하여 로그인 확인을 위해 서버로 보냅니다. 공격자는 사용자 이름과 비밀번호를 해독할 필요가 없으며 가로채는 데이터 패킷만 다시 암호화하면 됩니다. . 한 번의 작업 후에 로그인이 가능합니다. 이것이 재생입니다.

방어 조치 5 및 6: 각 양식에는 한 번만 사용할 수 있는 숨겨진 무작위 코드 토큰이 포함되어 있습니다.

일회성 토큰 구현만 사용: redis는 만료 및 무효화 후 바로 삭제됩니다.

8. 요약: 사용자 안전한 로그인 프로세스

기본 세션 전략: (1) 세션은 세션 세션으로만 사용되며 브라우저를 닫으면 무효화됩니다.

(2) 세션의 유효 기간이 짧을수록 60초와 같이 더 안전합니다. (3) 세션의 새로 고침 시간은 30초와 같이 적절하게 수정되어야 합니다. (4) 세션을 저장하도록 redis를 설정합니다.

구성은 다음과 같습니다.

php.ini에서:

$this->input->post('a',true);

기본값은 1440초로 24분입니다. 예를 들어 60초로 설정합니다. 60초 후에 클라이언트의 SID가 서버의 SID와 일치하면 유효하지 않습니다. SID를 업데이트하려면 60초 전에 페이지를 새로 고쳐야 합니다. 업데이트 방법은 application/config/에 설명되어 있습니다. config.php:

session.gc_maxlifetime = 60

세션 ID 새로 고침 및 세션 만료 시간 구분:

참고:

이 설정은 보안과 밀접한 관련이 있으므로 구별하여 사용해야 합니다.

위의

session.gc_maxlifetime

은 무엇을 의미하나요? 즉, 세션이 생성된 시점부터 만료되어 사용할 수 없는 시점까지의 시간입니다. 실제로 redis를 사용하면 이 값은 sid를 저장하기 위해 redis를 사용할 때 설정되는 기간이므로 매우 명확합니다. 도달하면 이 키-값이 삭제됩니다.

그래서 이번 sess_time_to_update는 이름에서 알 수 있듯이 새로 고침 시간입니다. 이 시간이 지나면 새로 고쳐진다는 의미입니다. 자동으로 새로고침되는 것이 아니라, 세션 접속 시 새로고침됩니다! 세션을 사용할 때 마지막 세션과 이번 시간 사이의 간격이 결정됩니다. 간격이 이 값보다 크면 sid가 새로 고쳐집니다. 이 사용법의 일반적인 성능은 페이지를 새로 고칠 때 인증을 위해 세션을 읽어야 한다는 것입니다. 그런 다음 페이지를 새로 고칠 때 두 번 사이의 간격이 이 시간을 초과합니다. 즉, sid를 새로 고치는 것입니다. 위에서는 새로 고침이 완료되었음을 의미하며 이후 세션이 갱신되고 타이머가 다시 시작되면서 새 세션이 작성됩니다.

즉, 페이지를 수시로 새로 고치면 필요할 때 새로 고침 메커니즘이 실행되고 정기적으로 발생하면 세션이 만료되지 않습니다. 두 번의 새로 고침 사이의 시간 간격이 maxlifetime을 초과하면 로그인 시간 초과가 표시되고 세션이 종료됩니다. 왜냐하면 만료 후에 업데이트를 시도하면 분명히 작동하지 않고 업데이트가 실패하기 때문입니다.

요약하자면 이 maxlifetime은 두 번의 새로 고침 사이에서 초과할 수 없는 기간을 결정한다는 것입니다. 그렇지 않으면 로그인 시간이 초과되고 업데이트는 maxlifetime보다 작아야 합니다. 왜냐하면 이보다 크면 유효하지 않기 때문입니다. 새로 고침이 만료되었습니다. 그리고 가급적이면 이번 업데이트는 maxlifetime의 절반 미만이어야 한다고 생각합니다. maxlifetime이 매우 긴 경우(사용자 경험을 개선하기 위해 사용자가 항상 로그인하고 시간 초과하는 것은 항상 좋지 않음) 업데이트가 더 짧게 설정되어 있는지 여부는 중요하지 않습니다. 세션이 도난당했다고 가정하면 더 짧아질 위험이 커집니다. 도둑이 세션을 사용할 때 만료되었을 가능성이 있으므로 보안이 더 높아질 것입니다.

one-times-tokens:

One-time tokens

위 내용은 이 글의 전체 내용입니다. 모두의 학습에 도움이 되기를 바랍니다.

관련 권장 사항:

PHP우회 비활성화 기능을 통해 시스템 명령을 실행하는 방법

PHP에서 "{}" 중괄호 사용 요약

PHP

위 내용은 PHP의 코드이그나이터 보안 예방 조치에 대한 자세한 그래픽 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!