PHP에서 세션 관리를 구현하는 방법-PHP 문제-php.cn

집

백엔드 개발

PHP 문제

PHP에서 세션 관리를 구현하는 방법

(*-*)浩

Sep 27, 2019 pm 01:13 PM

phpsession

세션 모듈은 세션에 저장한 정보가 해당 세션을 만든 사용자만 볼 수 있다고 보장할 수 없습니다. 세션에서 기밀 정보를 보호하려면 추가 단계를 수행해야 합니다. 기밀 정보를 보호하는 방법은 세션에 저장하는 데이터의 기밀성에 따라 달라집니다.

PHP에서 세션 관리를 구현하는 방법

session_start — 새 세션을 시작하거나 기존 세션을 재사용합니다.

엄격한 세션 관리 (권장 학습: 초보부터 마스터까지 PHP 프로그래밍)

현재 기본적으로 PHP는 An입니다. 적응형 방법은 세션을 관리하는 데 사용됩니다. 이 방법은 사용이 매우 유연하지만 특정 위험도 발생합니다.

PHP 5.5.2부터 새로운 구성 항목인 session.use_strict_mode가 추가되었습니다. 이 구성 옵션이 활성화되고 사용 중인 세션 스토리지 프로세서가 이를 지원하면 초기화되지 않은 세션 ID가 거부되고 이에 대한 새 세션이 생성됩니다. 이렇게 하면 공격자가 알려진 세션 ID를 공격하는 것을 방지할 수 있습니다. session.use_strict_mode。当启用这个配置项，并且你所用的会话存储处理器支持的话，未经初始化的会话 ID 会被拒绝，并为其生成一个全新的会话，这可以避免攻击者使用一个已知的会话 ID 来进行攻击。

例如，攻击者可以通过邮件给受害者发送一个包含会话 ID 的链接： http://example.com/page.php?PHPSESSID=123456789。

如果启用了 session.use_trans_sid 配置项，那么受害者将会使用攻击者所提供的会话 ID 开始一个新的会话。如果启用了 session.use_strict_mode 选项，就可以降低风险。

Warning

用户自定义的会话存储器也可以通过实现会话 ID 验证来支持严格会话模式。建议用户在实现自己的会话存储器的时候，一定要对会话 ID 的合法性进行验证。

在浏览器一侧，可以为用来保存会话 ID 的 cookie 设置域，路径，仅允许 HTTP 访问，必须使用 HTTPS 访问等安全属性。如果使用的是 PHP 7.3. 版本，还可以对 cookie 设置 SameSite 属性。攻击者可以利用浏览器的这些特性来设置永久可用的会话 ID。

仅仅设置 session.use_only_cookies 配置项无法解决这个问题。而 session.use_strict_mode 配置项可以降低这种风险。设置 session.use_strict_mode=On，来拒绝未经初始化的会话 ID。

Note: 虽然使用 session.use_strict_mode 配置项可以降低灵活会话管理方式所带来的风险，攻击者还是通过利用 JavaScript 注入等手段，强制用户使用由攻击者创建的并且经过了正常的初始化的会话 ID。

如何降低这种风向，可以参考本手册的建议部分。如果你已经启用了 session.use_strict_mode 配置项，同时使用基于时间戳的会话管理，并且通过设置 session_regenerate_id()

예를 들어, 공격자는 이메일을 통해 세션 ID가 포함된 링크(http://example.com/page.php?PHPSESSID=123456789)를 피해자에게 보낼 수 있습니다.

session.use_trans_sid 구성 항목이 활성화되면 피해자는 공격자가 제공한 세션 ID를 사용하여 새 세션을 시작하게 됩니다. session.use_strict_mode 옵션을 활성화하면 위험을 줄일 수 있습니다.

경고

사용자 정의 세션 저장소는 세션 ID 확인을 구현하여 엄격한 세션 모드도 지원할 수 있습니다. 사용자가 자신의 세션 저장소를 구현할 때 세션 ID의 유효성을 확인하는 것이 좋습니다.

브라우저에서는 세션 ID를 저장하는 데 사용되는 쿠키의 도메인과 경로를 설정할 수 있습니다. HTTPS 액세스만 허용되며 기타 보안 속성을 사용해야 합니다. PHP 버전 7.3을 사용하는 경우 쿠키에 SameSite 속성을 설정할 수도 있습니다. 공격자는 이러한 브라우저 기능을 악용하여 영구적으로 사용 가능한 세션 ID를 설정할 수 있습니다. session.use_only_cookies 구성 항목을 설정하는 것만으로는 이 문제를 해결할 수 없습니다. session.use_strict_mode 구성 항목을 사용하면 이러한 위험을 줄일 수 있습니다. 초기화되지 않은 세션 ID를 거부하려면 session.use_strict_mode=On을 설정하세요.
참고:

session.use_strict_mode 구성 항목을 사용하면 유연한 세션 관리로 인한 위험을 줄일 수 있지만 공격자는 여전히 JavaScript 삽입 및 기타 수단을 사용하여 사용자가 공격자가 만든 스크립트를 사용하도록 강요합니다. 그리고 정상적인 초기화 세션 ID 이후. 🎜🎜 이 풍향을 줄이는 방법은 이 매뉴얼의 제안 섹션을 참조할 수 있습니다. session.use_strict_mode 구성 항목을 활성화한 경우 타임스탬프 기반 세션 관리를 사용하고 session_regenerate_id() 구성 항목을 설정하여 세션 ID를 다시 생성하면 세션 공격자가 생성한 ID는 삭제될 수 있다. 🎜🎜 만료된 세션에 액세스하는 경우 후속 분석을 위해 활성 세션의 모든 데이터를 저장해야 합니다. 그런 다음 사용자에게 현재 세션에서 로그아웃하고 다시 로그인하도록 요청합니다. 공격자가 "도난당한" 세션을 계속 사용하지 못하도록 방지합니다. 🎜🎜🎜경고🎜🎜🎜만료된 세션 데이터에 액세스한다고 해서 항상 공격을 받고 있다는 의미는 아닙니다. 불안정한 네트워크 상태 또는 잘못된 세션 삭제 동작으로 인해 합법적인 사용자가 만료된 세션 데이터에 액세스할 수 있습니다. 🎜🎜🎜🎜관련 주제 추천🎜: 🎜php 세션🎜 (사진, 텍스트, 비디오, 사례 포함)🎜🎜

위 내용은 PHP에서 세션 관리를 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

산과 기본 데이터베이스 : 차이 및 각각을 사용 해야하는시기.Mar 26, 2025 pm 04:19 PM

이 기사는 산 및 기본 데이터베이스 모델을 비교하여 특성과 적절한 사용 사례를 자세히 설명합니다. 산은 금융 및 전자 상거래 애플리케이션에 적합한 데이터 무결성 및 일관성을 우선시하는 반면 Base는 가용성 및

PHP 보안 파일 업로드 : 파일 관련 취약점 방지.Mar 26, 2025 pm 04:18 PM

이 기사는 코드 주입과 같은 취약점을 방지하기 위해 PHP 파일 업로드 보안에 대해 설명합니다. 파일 유형 유효성 검증, 보안 저장 및 오류 처리에 중점을 두어 응용 프로그램 보안을 향상시킵니다.

PHP 입력 유효성 검증 : 모범 사례.Mar 26, 2025 pm 04:17 PM

기사는 내장 함수 사용, 화이트리스트 접근 방식 및 서버 측 유효성 검사와 같은 기술에 중점을 둔 보안을 향상시키기 위해 PHP 입력 유효성 검증에 대한 모범 사례를 논의합니다.

PHP API 요율 제한 : 구현 전략.Mar 26, 2025 pm 04:16 PM

이 기사는 토큰 버킷 및 누출 된 버킷과 같은 알고리즘을 포함하여 PHP에서 API 요율 제한을 구현하고 Symfony/Rate-Limiter와 같은 라이브러리 사용 전략에 대해 설명합니다. 또한 모니터링, 동적 조정 요율 제한 및 손도 다룹니다.

PHP 비밀번호 해싱 : password_hash 및 password_verify.Mar 26, 2025 pm 04:15 PM

이 기사에서는 PHP에서 암호를 보호하기 위해 PHP에서 Password_hash 및 Password_Verify 사용의 이점에 대해 설명합니다. 주요 주장은 이러한 기능이 자동 소금 생성, 강한 해싱 알고리즘 및 Secur를 통해 암호 보호를 향상 시킨다는 것입니다.