PHP에서 세션 관리를 구현하는 방법

세션 모듈은 세션에 저장한 정보가 해당 세션을 만든 사용자만 볼 수 있다고 보장할 수 없습니다. 세션에서 기밀 정보를 보호하려면 추가 단계를 수행해야 합니다. 기밀 정보를 보호하는 방법은 세션에 저장하는 데이터의 기밀성에 따라 달라집니다.

session_start — 새 세션을 시작하거나 기존 세션을 재사용합니다.

엄격한 세션 관리 (권장 학습: 초보부터 마스터까지 PHP 프로그래밍)

현재 기본적으로 PHP는 An입니다. 적응형 방법은 세션을 관리하는 데 사용됩니다. 이 방법은 사용이 매우 유연하지만 특정 위험도 발생합니다.

PHP 5.5.2부터 새로운 구성 항목인 session.use_strict_mode가 추가되었습니다. 이 구성 옵션이 활성화되고 사용 중인 세션 스토리지 프로세서가 이를 지원하면 초기화되지 않은 세션 ID가 거부되고 이에 대한 새 세션이 생성됩니다. 이렇게 하면 공격자가 알려진 세션 ID를 공격하는 것을 방지할 수 있습니다. session.use_strict_mode。 当启用这个配置项，并且你所用的会话存储处理器支持的话，未经初始化的会话 ID 会被拒绝， 并为其生成一个全新的会话，这可以避免攻击者使用一个已知的会话 ID 来进行攻击。

 例如，攻击者可以通过邮件给受害者发送一个包含会话 ID 的链接： http://example.com/page.php?PHPSESSID=123456789。

如果启用了 session.use_trans_sid 配置项， 那么受害者将会使用攻击者所提供的会话 ID 开始一个新的会话。 如果启用了 session.use_strict_mode 选项，就可以降低风险。

Warning

用户自定义的会话存储器也可以通过实现会话 ID 验证来支持严格会话模式。 建议用户在实现自己的会话存储器的时候， 一定要对会话 ID 的合法性进行验证。

在浏览器一侧，可以为用来保存会话 ID 的 cookie 设置域，路径， 仅允许 HTTP 访问，必须使用 HTTPS 访问等安全属性。 如果使用的是 PHP 7.3. 版本，还可以对 cookie 设置 SameSite 属性。 攻击者可以利用浏览器的这些特性来设置永久可用的会话 ID。 

仅仅设置 session.use_only_cookies 配置项 无法解决这个问题。而 session.use_strict_mode 配置项 可以降低这种风险。设置 session.use_strict_mode=On， 来拒绝未经初始化的会话 ID。

Note: 虽然使用 session.use_strict_mode 配置项 可以降低灵活会话管理方式所带来的风险， 攻击者还是通过利用 JavaScript 注入等手段， 强制用户使用由攻击者创建的并且经过了正常的初始化的会话 ID。

 如何降低这种风向，可以参考本手册的建议部分。 如果你已经启用了 session.use_strict_mode 配置项， 同时使用基于时间戳的会话管理， 并且通过设置 session_regenerate_id()

예를 들어, 공격자는 이메일을 통해 세션 ID가 포함된 링크(http://example.com/page.php?PHPSESSID=123456789)를 피해자에게 보낼 수 있습니다.

session.use_trans_sid 구성 항목이 활성화되면 피해자는 공격자가 제공한 세션 ID를 사용하여 새 세션을 시작하게 됩니다. session.use_strict_mode 옵션을 활성화하면 위험을 줄일 수 있습니다.

경고

사용자 정의 세션 저장소는 세션 ID 확인을 구현하여 엄격한 세션 모드도 지원할 수 있습니다. 사용자가 자신의 세션 저장소를 구현할 때 세션 ID의 유효성을 확인하는 것이 좋습니다.

브라우저에서는 세션 ID를 저장하는 데 사용되는 쿠키의 도메인과 경로를 설정할 수 있습니다. HTTPS 액세스만 허용되며 기타 보안 속성을 사용해야 합니다. PHP 버전 7.3을 사용하는 경우 쿠키에 SameSite 속성을 설정할 수도 있습니다. 공격자는 이러한 브라우저 기능을 악용하여 영구적으로 사용 가능한 세션 ID를 설정할 수 있습니다. session.use_only_cookies 구성 항목을 설정하는 것만으로는 이 문제를 해결할 수 없습니다. session.use_strict_mode 구성 항목을 사용하면 이러한 위험을 줄일 수 있습니다. 초기화되지 않은 세션 ID를 거부하려면 session.use_strict_mode=On을 설정하세요.

참고:

session.use_strict_mode 구성 항목을 사용하면 유연한 세션 관리로 인한 위험을 줄일 수 있지만 공격자는 여전히 JavaScript 삽입 및 기타 수단을 사용하여 사용자가 공격자가 만든 스크립트를 사용하도록 강요합니다. 그리고 정상적인 초기화 세션 ID 이후. 🎜🎜 이 풍향을 줄이는 방법은 이 매뉴얼의 제안 섹션을 참조할 수 있습니다. session.use_strict_mode 구성 항목을 활성화한 경우 타임스탬프 기반 세션 관리를 사용하고 session_regenerate_id() 구성 항목을 설정하여 세션 ID를 다시 생성하면 세션 공격자가 생성한 ID는 삭제될 수 있다. 🎜🎜 만료된 세션에 액세스하는 경우 후속 분석을 위해 활성 세션의 모든 데이터를 저장해야 합니다. 그런 다음 사용자에게 현재 세션에서 로그아웃하고 다시 로그인하도록 요청합니다. 공격자가 "도난당한" 세션을 계속 사용하지 못하도록 방지합니다. 🎜🎜🎜경고🎜🎜🎜만료된 세션 데이터에 액세스한다고 해서 항상 공격을 받고 있다는 의미는 아닙니다. 불안정한 네트워크 상태 또는 잘못된 세션 삭제 동작으로 인해 합법적인 사용자가 만료된 세션 데이터에 액세스할 수 있습니다. 🎜🎜🎜🎜관련 주제 추천🎜: 🎜php 세션🎜 (사진, 텍스트, 비디오, 사례 포함)🎜🎜

위 내용은 PHP에서 세션 관리를 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!