注册
登录
天网安防
饼干系统 - 安全
返回
饼干系统 - 安全
作者:
溪林
发布时间:
2024-12-12 09:26:28 (1月前)
转自:
<p> <br/> ’,$ email,time()+ 60 * 60 * 24 * 100);<br/> }<br/> 其他{<br/> setcookie(‘email’,$ email,time()+ 3600);<br/> }</p><p>我的问题是关于<br/> <br/> 安全<br/> </跨度><br/> 的问题。上面的代码是不安全的?它需要类似于 的东西<br/> <br/></p>
收藏
举报
4 条回复
0#
回复此人
v-star*위위
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 轶事时间:回到2002年左右,我正在看我学校网络的数据包转储,并告诉他们他们需要确定他们的成绩,出勤率,学生信息,一切都在阳光下的系统。他们设置的方式是这样的:在用户进行身份验证后,系统会设置一个只包含用户名和会话结束时间的cookie。我启动了一个浏览器,选择了一个用户名(首字母,姓氏),并将其设置为cookie。我有权访问。 </p> <P> 他们应该做的是设置一个随机的128号码并跟踪服务器中的号码(号码,相应的用户,超时值)。 </p> <P> 也可以看看 </p> <UL> <LI> <P> <a href="https://security.stackexchange.com/questions/41/good-session-practices"> 良好的会话实践 </A> 。 </p> </LI> <LI> <P> <a href="https://security.stackexchange.com/questions/211/how-to-securely-hash-passwords"> 如何安全地哈希密码 </A> 。 </p> </LI> </UL> </DIV>
编辑
1#
回复此人
陆离
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 为了方便防止用户更改cookie的值,您可以使用 <a href="http://pastie.org/2810850" rel="nofollow"> 这个班 </A> 在网上找到。它将编写一个包含与所有cookie值的“总和”对应的哈希值的cookie,因此如果更改数据,则哈希值将不正确。 </p> <P> 只需要三种方法: <code> Cookie::set(cookie_name, value) </code> , <code> Cookie::get(cookie_name) </code> 和 <code> Cookie::reset() </code> 。 </p> </DIV>
编辑
2#
回复此人
Minions
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您需要验证随机生成的哈希或服务器端的东西。用户可以调整所有需要的数据,并为cookie数据发回任何内容。使用您当前的方案,似乎很容易指定他们想要的任何用户。害怕。 </p> <P> 登录时,请在数据库中粘贴身份验证密钥,以及IP,UserAgent和Expiration。如果他们尝试使用您的站点并且IP或UserAgent不同,或者密钥已过期,则强制注销。 </p> </DIV>
编辑
登录
后才能参与评论
