如何防止 PHP 会话固定和劫持？

PHP 会话固定和劫持：预防和缓解

会话固定

发生会话固定当攻击者故意为用户设置会话标识符时。这削弱了会话的安全性，因为攻击者可以使用预定义的标识符来冒充用户。要防止会话固定：

1. 禁用 URL 中的会话传输： 在 php.ini 中将 session.use_trans_sid 设置为 0。
2. 限制 Cookie会话存储： 将 session.use_only_cookies 设置为 1 中php.ini.
3. 重新生成会话 ID：每当会话状态更改（例如登录后）时，调用 session_regenerate_id(true)。

会话劫持

会话劫持是以下行为获取有效的会话标识符并使​​用它作为原始用户发送请求。虽然直接防止会话劫持是不可能的，但有几种措施可以使其变得更加困难：

1. 强哈希：将 session.hash_function 设置为强算法，如 php 中的 SHA256 或 SHA512。 ini.
2. 增加哈希位：设置session.hash_bits_per_character 为 5，使猜测会话 ID 更具挑战性。
3. 熵包含： 通过将 session.entropy_file 设置为 /dev/urandom 并将 session.entropy_length 设置为 a，将熵添加到会话 ID合适的数量。
4. 自定义会话名称： 使用 session_name() 更改默认 PHPSESSID 的会话名称。
5. 轮换：定期轮换会话 ID 以减少攻击者的会话持续时间。
6. 用户代理检查：包括用户的浏览器代理($_SERVER['HTTP_USER_AGENT']) 在会话中并在后续请求中检查它。
7. IP 地址跟踪： 将用户的 IP 地址 ($_SERVER['REMOTE_ADDR']) 存储在会话并根据后续请求进行检查。
8. 令牌比较：生成令牌对于会话和浏览器端。递增并比较每个请求的令牌。

会话重新生成

使用 session_regenerate_id(true) 重新生成会话 ID 也会使旧会话数据无效。因此，当会话状态发生变化时，此操作就足够了。

彻底的会话销毁

结束会话时，使用 destroySession() 而不是 session_destroy() 彻底销毁删除浏览器和服务器上的所有痕迹：

function destroySession() {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params['path'], $params['domain'],
        $params['secure'], $params['httponly']
    );
    session_destroy();
}

以上是如何防止 PHP 会话固定和劫持？的详细内容。更多信息请关注PHP中文网其他相关文章！