PHP Session 保險

PHP Session 安全
在stackoverflow上看到關於 php Session 安全的討論，特記錄之。（http://stackoverflow.com/questions/328/php-session-security）


1.使用SSL


2.重設session_id

引用

PHP中可以：session_regenerate_id(true);

3.設定session有效時間

可以參考鳥哥的文章：http://www.laruence.com/2012/01/10/2469.html


4.不是全域變數


5.儲存資訊在伺服器上，不發送重要訊息到cookie上


6.檢查使用者user_agent和IP
引用

PHP 使用：if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']

|| $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR']) {

//Something fishy is going on here?

}

7.設定 httpOnly 避免 Session 攻擊

參考：http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html


8.Lock down access to the sessions on the file system or use custom session handling
引用

可是自訂session session_set_save_handler()
將session儲存在DB, memcached等

9.For sensitive operations consider requiring logged in users to provide their authenication details again

