安全問題

Question

在我的CMS我有index.php，其中客戶端必須輸入用戶名和密碼。如果他們是正確的，他會移動到admin.php，cms所在的位置。

但現在黑客可以進入cms/admin.php，所以我現在的安全性很糟糕。我可以使用$_SESSION變量。

index.php - 我可以給一定的參考價值$ _SESSION [ '成功']：

$_SESSION['success'] = TRUE，並在admin.php的只是驗證

admin.php 

if($_SESSION['success'] == TRUE) 
{ 
    my script here... 
} 
else header("Location: index.php"); 

，但我想沒有豐富SESSION這種效果。 你可以給我一個主意，我該怎麼做？

謝謝

Answer 1

Web應用程序的安全性真的很深。首先，您需要使用會話或會話的等效實現。

用戶登錄，您需要將會話ID及其用戶名存儲在cookie和數據庫中。在數據庫中，你還需要存儲一些關於它們的信息，比如他們的用戶代理，這樣你就可以知道他們的會話是否被劫持。有些人存儲IP地址。如果用戶使用來自移動設備的應用程序，這將不起作用，因爲他們的IP地址可能會頻繁刷新。

每次用戶加載管理頁面時，請確認它們具有有效的會話和用戶cookie，並且有權使用該頁面。然後驗證請求是否從使用您存儲的有關該用戶的信息開始的同一臺計算機上發出。

對於您在管理頁面中放入的可導致管理操作的每個表單或鏈接，請添加具有唯一標識符的隱藏字段或值。可能導致管理操作的頁面上每個項目的一個標識符。當您生成這些標識符時，將它們與他們正在識別的操作一起存儲在數據庫中。這稱爲隨機數，它將隨每個管理請求一起提交（例如更新記錄或刪除用戶或從您的銀行賬戶轉賬）。當請求被服務時，服務器應該檢查nonce是否與數據庫中存儲的內容匹配，然後將其除掉。如果不匹配，則可能是通過跨站點請求僞造攻擊提出請求。

這些只是與認證用戶進行交互時需要記住的一些事情，當然還有其他一些事情需要注意，比如XSS。

安全非常困難，雖然您的Web應用程序可能不保證防彈安全策略，但您應該向用戶承擔責任，以保護其密碼和個人信息。有關（更多）更多信息，請參閱OWASP。

Answer 2

您發佈的代碼是錯誤的和無意義的。 （應該是== true，爲什麼你允許他在錯誤上查看你的腳本，而不是成功？）

更重要的是，爲什麼你不想使用會話？您需要以某種方式驗證用戶身份，並且需要存儲某種狀態，以便每次更改頁面時都不必強制用戶登錄。

Answer 3

不，你不想這樣做沒有會議。其他的做法，cookies和referrer，和鎖定屏幕門一樣安全。

Answer 4

你有兩個選擇：在每次請求

1. 進行身份驗證（使用HTTP認證，該瀏覽器不可見確實在背景中）
2. 進行一次身份驗證，然後儲存在用戶計算機上的某種關鍵的維護在服務器上提到它

第一個作品，但它不太安全和用戶友好。第二個是會議的內容;如果你試圖自己重新實現它，那麼你很有可能會遇到一些安全漏洞。是否有任何實際的理由你不想使用會話？

Answer 5

爲了能夠實現您自己的安全系統，您需要能夠跨越請求跟蹤用戶，換句話說，能夠擁有用戶狀態。會話是在PHP中執行此操作的方式。您可以使用內置會話，也可以自己實現自定義會話。這兩個選項中的後者更加困難，並且可能對您的情況沒有好處。

要記住關於PHP中的會話的一個關鍵事項是，您始終必須爲每個請求啓動它們。你應該有一個全局的包含文件，也許某種配置文件。我建議你把你的session_start();放在那個文件的頂部附近，以確保它對每個請求都正確執行。請記住，必須在發送任何頭部之前啓動會話，換句話說，在發送任何輸出之前。

使用PHP來保護訪問您網站的一部分的一個缺點是，它只適用於請求是針對PHP文件。例如，如果您有要保護的圖像，文檔或其他媒體，除非您通過某種PHP網關/篩選器提供，否則這些文件可能無需身份驗證即可訪問。

就這麼說吧，我建議你看看Apache提供的basic or digest authentication。爲了您的需要，它可能會提供足夠的安全性，並且非常容易實現 - 無需編碼。更重要的是，大多數網絡主機都有一個管理工具來管理這種類型的身份驗證，通常被稱爲「密碼保護的文件夾」，「鎖定的文件夾」等。您所做的只是選擇文件夾並設置用戶名和密碼以及你完成了。