本文目录一览:
- 1、php通过session防url攻击方法
- 2、php中使用session防止用户非法登录后台的方法
- 3、thinkphp怎么防止session丢失
- 4、php的session怎么写才安全
- 5、php怎么屏障这样的错误提示呢?我用$_SESSION做防页面刷新重复提交数据,刷新后提示14行错
php通过session防url攻击方法
本文实例讲述了php通过session防url攻击方法。分享给大家供大家参考。具体实现方法如下:
通过session跟踪,可以很方便地避免url攻击的发生,php采用session防url攻击方法代码如下:
复制代码
代码如下:?php
session_start();
$clean
=
array();
$email_pattern
=
'/^[^@s]+@([-a-z0-9]+.)+[a-z]{2,}$/i';
if
(preg_match($email_pattern,
$_POST['email']))
{
$clean['email']
=
$_POST['email'];
$user
=
$_SESSION['user'];
$new_password
=
md5(uniqid(rand(),
TRUE));
if
($_SESSION['verified'])
{
/*
Update
Password
*/
mail($clean['email'],
'Your
New
Password',
$new_password);
}
}
?
使用时URL可设置如下:
;email=chris%40example.org
如果reset.php信任了用户提供的这些信息,这就是一个语义URL
攻击漏洞,在此情况下,系统将会为php
帐号产生一个新密码并发送至chris@example.org,这样chris
成功地窃取了php
帐号.
希望本文所述对大家的PHP程序设计有所帮助。
php中使用session防止用户非法登录后台的方法
本文实例讲述了php中使用session防止用户非法登录后台的方法。分享给大家供大家参考。具体如下:
一般来说,我们登录网站后台时,服务器会把登录信息保存到session文件里,并通过读取session文件来判断是否可以进行后台操作。
以下面为例,假如admin.php是我们的后台操作页面,如果没有启用
session,那么,即便是没有登录,用户照样能访问到该页面,这时候,就需要用到
session
来防止用户非法登录到这个页面了。下面是三个文件的代码
登录页面:login.php
复制代码
代码如下:h2用户登录页面/h2
form
action="loginProcess.php"
method="post"
用户名:input
type="text"
name="username"br
/
密 码:input
type="password"
name="pwd"br
/
input
type="submit"
name="sub"
value="登录后台"
/form
?php
if(!empty($_GET['errno'])){
if($_GET['errno']==1){
echo
"用户名或密码错误";
}else
if($_GET['errno']==2){
echo
"请输入用户名密码";
}else
if($_GET['errno']==3){
echo
"非法访问,请输入用户名和密码";
}
}
?
登录信息处理页面:loginProcess.php
复制代码
代码如下:?php
//这里主要讲session,关于登录信息验证,就不涉及到数据库了
//接收登录信息,保存session
if(!empty($_POST['sub'])){
if($_POST['username']=="admin"
$_POST['pwd']=="admin"){
echo
"登录成功";
session_start();//开启session
$_SESSION['username']
=
$_POST['username'];//将登录名保存到session中
header("Location:
admin.php");
exit();
}else{
header("Location:
login.php?errno=1");
exit();
}
}else{
header("Location:
login.php?errno=2");
exit();
}
?
后台文件:admin.php
复制代码
代码如下:?php
session_start();
if(empty($_SESSION['username'])){
header("Location:
login.php?errno=3");
exit();
}
echo
"你是管理员,你现在拥有后台管理权限";
?
希望本文所述对大家的php程序设计有所帮助。
thinkphp怎么防止session丢失
php跳转session丢失的解决办法:1、用Notepad打开相应的文件;2、格式选择以UTF-8无bom格式编码;3、将文件保存,并重新上传到服务器即可。
php的session怎么写才安全
会话的用途常常是帮助用户在Web应用程序的各个部分之间跳转,(这句话说的比较不全面,其实主要是为了能共享数据。)
从而达到方便快捷的目的,但是它在存储信息的时候往往会有一些敏感的东西,这些东西可能成为被攻击的目标,如银行的账号、信用卡事务或档案记录等。这就要求在编写代码的时候必须采取安全措施来减少攻击成功的可能性。 -php写session防数据
主要的安全措施有以下两个方面。
1、防止攻击者获取用户的会话ID。
获取会话ID的方式很多,攻击者可以通过查看明文通信来获取,所以把会话ID放在URL中或者放在通过未加密连接传输的Cookie中是很危险的;还有在URL中(作为_get()参数)传递会话ID也是不安全的,因为浏览器历史缓存中会存储URL,这样就很容易被读取。(可以考虑使用ssh进行加密传输) -php写session防数据
还有一种更为隐蔽的攻击手段,攻击者通过一个被脚本攻击突破的Web站点,把被突破的这个站点上的用户重新定向到另一个站点,然后在重新定向的站点的URL中插入以下代码:
?PHPSESSID=2dfd56465412312365465412312;
最后发送到Web应用程序。当用户查看Web应用程序时,PHP会发现没有与这个会话ID相关联的数据并且会创建一些数据。用户不知道发生了什么,但攻击者却知道了会话ID,就可以利用这个会话ID进入应用程序。 -php写session防数据
要防止这种攻击,有两种方法。
(1)检查php.ini中是否打开了session.use_only_cookie。如果是这种情况,PHP会拒绝基于URL的会话ID。
(2)当启动会话时,在会话数据中放一个变量,这个变量表示会话是用户创建的;如果发现会话数据中没有这个变量,那就说明会话ID是假的,就可以调用session_regenerate_id函数,给现有会话分配一个新的会话ID。 -php写session防数据
示例:
通过判断变量是否存在来确定会话ID的真假,如果存在,则说明会话ID是真的,否则是假的,并使用session_regenerate_id()函数对会话ID进行更改,重新给会话创建一个新的会话ID,
代码如下:
?php
session_start () ;
if (!isset ( $_SESSION['shili1'] )) { //判断shili1变量是否配置
$old_id = session_id () ; //原来的会话ID的变量名
session_regenerate_id () ; //获取一个新的会话ID
$new_id = session_id () ; //新的会话ID的变量名
echo "old : $old_idbr/" ; //输出原来的会话ID
echo "new : $new_idbr/" ; //输出新的会话ID
$_SESSION['shili1'] = TRUE ; }
? 这只是一个示例,输出会话ID是为了更好的理解和应用这个函数,而在程序设计中是不需要输出会话ID的。
2、限制攻击者获取会话ID。
限制攻击者获取会话ID的方法如下。
(1)使用一个函数(md5)计算User-Agent头加上某些附加字符串数据后的散列值(hash)。(散列函数(hash function)接受一个任意大的数据集,并且将它转换为一个看起来完全不同的数据,这个数据很短。产生的散列值是完全不可重现的,也不可能由另一个输入产生。) -php写session防数据
在User-Agent字符串后面添加一些数据,攻击者就无法通过对常见的代理值计算md5编码来试探User-Agent字符串。
(2)将这个经过编码的字符串保存在用户的会话数据中。
(3)每次从这个用户接收到请求时,检查这个散列值。
此方案的代码如下:
?php
define ( ‘ua_seed','webapp' ) ;
session_start () ;
if ( !isset($_SESSION['user_agent'] )){
$_SESSION['user_agent'] = md5 ( $_SERVER['HTTP_USER_AGENT'].ua_seed );
}else{
if ($_SESSION['user_agent'] != md5($_SERVER['HTTP_USER_AGENT'].ua_seed)){} }
?
通过给攻击者制造一些麻烦,使攻击者即使获取了会话ID,也无法进行破坏,能够减少对系统造成的损失。
php怎么屏障这样的错误提示呢?我用$_SESSION做防页面刷新重复提交数据,刷新后提示14行错
第14行
if (isset($_SESSION['panduan']) $sj==$_SESSION['panduan']){
