首頁(yè) 猿問(wèn) 什么時(shí)候以及為什么我應(yīng)該使用ses...

什么時(shí)候以及為什么我應(yīng)該使用session_regenerate_id（）？

PHP

回首憶惘然 2019-11-13 14:36:30

為什么以及何時(shí)應(yīng)該session_regenerate_id()在php中使用該函數(shù)？使用后是否應(yīng)該始終使用它session_start()？我讀到我必須使用它來(lái)防止會(huì)話固定，這是唯一原因嗎？

查看完整描述

3 回答

30秒到達(dá)戰(zhàn)場(chǎng)

TA貢獻(xiàn)1828條經(jīng)驗(yàn) 獲得超6個(gè)贊

我認(rèn)為會(huì)話中毒的問(wèn)題已經(jīng)很好地解決了。

回答“我什么時(shí)候應(yīng)該使用它？” 部分，退后一步并考慮您的應(yīng)用程序在會(huì)話中正在做什么很重要?；蛘?，換句話說(shuō)，這是您需要回答的關(guān)鍵安全問(wèn)題

如果有人舉行了這次會(huì)議，他們會(huì)得到什么？

如果您要做的只是跟蹤匿名數(shù)據(jù)（用戶來(lái)到站點(diǎn)，然后使用它來(lái)跟蹤他們的訪問(wèn)），那么沒(méi)有理由重新生成會(huì)話。劫機(jī)者通過(guò)搶劫該會(huì)話不會(huì)獲得任何有價(jià)值的東西。

但是，許多站點(diǎn)都提供登錄名。登錄會(huì)改變很多事情。我可以訪問(wèn)我的個(gè)人資料。我可以更改設(shè)置。因此，劫機(jī)者可能希望我的帳戶訪問(wèn)權(quán)限，特別是當(dāng)普通用戶和管理員用戶都使用會(huì)話來(lái)管理登錄名時(shí)。因此，當(dāng)人們來(lái)到我的網(wǎng)站并登錄時(shí)，我重新生成了會(huì)話。它增加了一層額外的安全保護(hù)，使我新登錄的用戶不太可能被劫持。

每當(dāng)我們向會(huì)話添加關(guān)鍵數(shù)據(jù)時(shí)，您都應(yīng)該考慮重新生成會(huì)話ID。如果您需要加強(qiáng)應(yīng)用程序的固定性，那么隨機(jī)重新生成可能會(huì)很有用，但我永遠(yuǎn)不會(huì)在每次請(qǐng)求時(shí)都重新生成。默認(rèn)情況下，PHP將會(huì)話存儲(chǔ)在本地磁盤上的文件中。您將添加大量磁盤I / O，以緩解相對(duì)較小的攻擊媒介。如果您確實(shí)需要更高的安全性，我建議您使用完整的HTTPS，而不要定期重新生成（HTTPS使修復(fù)工作非常困難）。

反對(duì) 回復(fù) 2019-11-13