php 如何做保持登錄有關安全方面的詳細說下-php教程-PHP中文網

首頁

後端開發

php教程

php 如何做保持登錄有關安全方面的詳細說下

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Aug 18, 2016 am 09:16 AM

php

現在自己的網站用的都是session，但這樣瀏覽器一關了登錄狀態就沒了，很不方便
怎麼做【保持登錄】功能，關於cookie方面的安全怎麼做最好詳細講下，網上也沒有具體的方案，希望有開發經驗的人指導下

回覆內容：

需要說明的是,PHP的session也是用cookie實現的,保存在瀏覽器的cookie名稱預設為PHPSESSID.
這個session的cookie也是可以設定過期時間的,例如過期時間設定為3600秒:
session_set_cookie_params( 3600);
這樣關閉瀏覽器後在一小時內重新打開這個cookie依舊有效.

PHP session是每一個PHPSESSID預設對應一個保存會話資料的檔案.
也就是說不同的PHPSESSID的會話資料是不共享的.
比如你用PHP session實現一個購物車或影片觀看記錄的功能,
你把購物車的數據保存在會話文件裡,那你在其他設備或瀏覽器登錄後是看不到你的購物車數據的.
這時你應該把購物車數據保存在數據庫裡.

下面說說自己怎麼基於資料庫實作一套自訂的cookie會話機制:

cookie裡儲存使用者ID(明文)和使用者的鹽值(雜湊).
需要高安全性的話,還可以用MCRYPT_BLOWFISH對整個cookie的內容做一次加密.
這個cookie既要做到可以認證使用者,又要做到不能被偽造.
用戶的鹽值是在用戶註冊時,為了保護密碼,而隨機生成並確定下來,保存在用戶表裡對應用戶的一個字段數據.

<code>//保护用户密码的盐
$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );

//用户的密码($pwd_user是用户输入的密码明文)
$pwd_db = sha1($salt.sha1($pwd_user));

//cookie里的盐
//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效.
$cookie_salt = sha1($global_salt.sha1($salt));

//最终生成的cookie内容
$cookie = base64_encode($user_id.'|'.$cookie_salt);
//如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.
$cookie = mcrypt_blowfish($cookie, $key);

//设置cookie,这里把过期时间设为3600秒(1小时)
setcookie($cookie_name, $cookie, time()+3600);</code>

其中用戶的鹽,應用全域的鹽,以及MCRYPT_BLOWFISH加密的密鑰$key,都是隨機生成並確定下來的.
算法比如:
sha1( uniqid(getmypid().'_'.mt_rand() .'_', true) )
產生的是一個進程ID+隨機數+基於當前時間微秒數+熵的一個哈希值.

驗證用戶的時候就是先用私鑰解密$_COOKIE['cookie_name'],
然後base64_decode拿到用戶ID,
然後根據用戶ID查詢用戶的鹽,
然後把這個鹽經過同樣的哈希算法後跟cookie裡的鹽$cookie_salt對比,
如果一致,則判定用戶的cookie有效.

<code>//解密cookie
$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);

//分割后拿到里面的$user_id和$cookie_salt
$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));</code>

設定cookie有效期，例如當前時間加一個星期，這樣就算關閉瀏覽器也要一個月過期
cookie內容可以對userId進行對稱加密，後端先拿到密文，然後解密，最後登入

只操作cookie還是解決不了session過期的問題啊，建議用個緩存(果然是上癮藥)，把session放進去好了，過期時間隨便你設置，檢查是否在線時直接去緩存內檢測；
好像php.ini可以設定session的儲存媒體的。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP與Python：了解差異Apr 11, 2025 am 12:15 AM

PHP和Python各有優勢，選擇應基於項目需求。 1.PHP適合web開發，語法簡單，執行效率高。 2.Python適用於數據科學和機器學習，語法簡潔，庫豐富。

php：死亡還是簡單地適應？Apr 11, 2025 am 12:13 AM

PHP不是在消亡，而是在不斷適應和進化。 1)PHP從1994年起經歷多次版本迭代，適應新技術趨勢。 2)目前廣泛應用於電子商務、內容管理系統等領域。 3)PHP8引入JIT編譯器等功能，提升性能和現代化。 4)使用OPcache和遵循PSR-12標準可優化性能和代碼質量。

PHP的未來：改編和創新Apr 11, 2025 am 12:01 AM

PHP的未來將通過適應新技術趨勢和引入創新特性來實現：1)適應云計算、容器化和微服務架構，支持Docker和Kubernetes；2)引入JIT編譯器和枚舉類型，提升性能和數據處理效率；3)持續優化性能和推廣最佳實踐。

您什麼時候使用特質與PHP中的抽像類或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait適用於需要方法復用但不適合使用繼承的情況。 1)trait允許在類中復用方法，避免多重繼承複雜性。 2)使用trait時需注意方法衝突，可通過insteadof和as關鍵字解決。 3)應避免過度使用trait，保持其單一職責，以優化性能和提高代碼可維護性。

什麼是依賴性注入容器（DIC），為什麼在PHP中使用一個？Apr 10, 2025 am 09:38 AM

依賴注入容器（DIC）是一種管理和提供對象依賴關係的工具，用於PHP項目中。 DIC的主要好處包括：1.解耦，使組件獨立，代碼易維護和測試；2.靈活性，易替換或修改依賴關係；3.可測試性，方便注入mock對象進行單元測試。

與常規PHP陣列相比，解釋SPL SplfixedArray及其性能特徵。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一種固定大小的數組，適用於需要高性能和低內存使用量的場景。 1)它在創建時需指定大小，避免動態調整帶來的開銷。 2)基於C語言數組，直接操作內存，訪問速度快。 3)適合大規模數據處理和內存敏感環境，但需謹慎使用，因其大小固定。

PHP如何安全地上載文件？Apr 10, 2025 am 09:37 AM

PHP通過$\_FILES變量處理文件上傳，確保安全性的方法包括：1.檢查上傳錯誤，2.驗證文件類型和大小，3.防止文件覆蓋，4.移動文件到永久存儲位置。

什麼是無效的合併操作員（??）和無效分配運算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中處理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。 1.??返回第一個非null或非undefined的操作數。 2.??=將變量賦值為右操作數的值，但前提是該變量為null或undefined。這些操作符簡化了代碼邏輯，提高了可讀性和性能。

See all articles