我正在努力确保我的会议安全.在做一些研究时,我估计基于Agent和IP的
PHP的
PHPSESSID随机哈希足以防止劫持.你能做什么呢,真的.
我使用HTTPS登录.据我所知,PHP的会话数据永远不会发送给用户,而是存储在服务器端.客户端仅获取会话的ID.会话数据保存实际的webapp用户会话,而后者又用于检查登录是否有效.一切都很好,花花公子.
但是,有一个我在任何地方都找不到的细节.我想知道如果我使用HTTPS,包含PHP会话ID的cookie是否会自动标记为安全.我做了一些谷歌搜索,但似乎从来没有得到正确的搜索字符串,因为我只找到手动发送cookie的方法.我想知道,因为如果该cookie被发送为明文,它将通过中间人来破坏一些安全性.
编辑1
这是@ircmaxell的补充
我尝试了你的方法但是当我从HTTPS切换回HTTP时,我仍然得到了cookie.它的工作方式如下.只要服务器知道用户会话可用,它就会设置安全标志.这意味着整个站点在您登录后立即在SSL上运行,并且在您不使用SSL时拒绝放弃/使用cookie.或者至少,这就是想法.
if ($SysKey['user']['session_id'] != '') {
session_set_cookie_params(60*60*24*7,'/',$SysKey['server']['site'],true,true);
}
我假设我需要重新生成id,因为浏览器在登录之前已经有了cookie但是因为我只能在几个小时内试用它,所以在尝试之前我会问
解决方案说明
我刚刚发现你必须在开始会话之前设置这些设置.那是我的问题.我现在使用2个不同的cookie.一个用于通过http发送的常规访客,另一个用于仅通过ssl发送的登录用户.
我认为您正在寻找的功能是
session_set_cookie_params(...).它允许您设置安全cookie标志,使其仅为https.
您可以通过以下方式查询:session_get_cookie_params()