[解決済み] PHP セッションセキュリティ
2022-08-04 21:05:10
質問
PHPで責任あるセッションセキュリティを維持するためのガイドラインは何ですか? Webのあちこちに情報がありますが、そろそろ1つの場所にまとめてもいい頃です!
どのように解決するのですか?
セッションを安全に保つためには、いくつかの方法があります。
- ユーザーを認証するときや、機密性の高い操作を行うときは、SSL を使用します。
- セキュリティ レベルが変更されるたびに (ログインなど)、セッション ID を再生成します。必要であれば、リクエストごとにセッション ID を再生成することもできます。
- セッションをタイムアウトさせる
- レジスタ・グローバルを使用しない
- 認証の詳細をサーバーに保存する。つまり、ユーザー名などの詳細をクッキーで送らないようにします。
-
をチェックする。
$_SERVER['HTTP_USER_AGENT']. これは、セッションハイジャックに対する小さな障壁を追加します。また、IPアドレスを確認することもできます。しかし、これは、複数のインターネット接続でのロード バランシングなどによって IP アドレスが変化するユーザー (ここでの私たちの環境ではそうです) には問題を引き起こします。 - ファイル システム上のセッションへのアクセスをロックするか、カスタム セッション ハンドリングを使用します。
- 機密性の高い操作のために、ログインしたユーザーに認証の詳細を再度提供するよう要求することを検討する。
関連
-
[解決済み] PHPでSQLインジェクションを防ぐにはどうしたらいいですか?
-
[解決済み] PHPのエラーを表示させるにはどうしたらいいですか?
-
[解決済み] 後で平文を取り出すためのユーザーパスワードの保管について、倫理的にどのように取り組むべきでしょうか?
-
[解決済み] "お知らせ 未定義変数"、"Notice: Notice: 未定義のインデックス", "Notice:未定義のインデックス", "Notice."。PHPを使用した「未定義のオフセット
-
[解決済み] PHPでパスワードをハッシュ化するためにbcryptを使用するにはどうすればよいですか?
-
[解決済み] Long-Polling、Websocket、Server-Sent Events (SSE)、Cometとは何ですか?
-
[解決済み】PHPの'foreach'は実際どのように動作するのですか?
-
[解決済み】PHPパスワードのハッシュとソルトの安全性について
-
[解決済み] リファレンス - このシンボルはPHPで何を意味するのですか?
-
[解決済み] セッションハイジャックを防止する最善の方法は何ですか?
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン