Есть несколько вещей, которые нужно сделать, чтобы сохранить вашу сессию в безопасности:

1. Используйте SSL при проверке подлинности пользователей или выполнении конфиденциальных операций.
2. Повторно создавайте идентификатор сеанса при изменении уровня безопасности (например, при входе в систему). Вы даже можете повторно создать идентификатор сеанса каждый запрос, если хотите.
3. Есть сеансы тайм-аут
4. Не использовать регистр глобалс
5. Храните сведения о проверке подлинности на сервере. То есть, не отправляйте такие данные, как имя пользователя в файле cookie.
6. Проверьте $_SERVER['HTTP_USER_AGENT'] . Это добавляет небольшой барьер для захвата сессии. Вы также можете проверить адрес IP. Но это вызывает проблемы для пользователей, которые имеют изменяющийся адрес IP из-за балансировки нагрузки на нескольких интернет-соединениях и т. д. (что имеет место в нашей среде здесь).
7. Заблокируйте доступ к сеансам в файловой системе или используйте пользовательскую обработку сеансов
8. Для конфиденциальных операций рекомендуется повторно потребовать от вошедших в систему пользователей предоставить сведения о проверке подлинности

Одна из рекомендаций заключается в том, чтобы вызывать session_regenerate_id каждый раз, когда уровень безопасности сеанса изменяется. Это помогает предотвратить захват сеанса.

Мои два (или больше) цента:

• Не доверять никому
• Вход фильтра, выход escape (cookie, данные сеанса - это тоже ваш вход)
• Избегайте XSS (держите свой HTML хорошо сформированным, посмотрите на PHPTAL или HTMLPurifier )
• Глубокая оборона
• Не раскрывайте данные

Есть небольшая, но хорошая книга на эту тему: Essential PHP Security Криса Шифлетта .

Существенная PHP Безопасность http://shiflett.org/images/essential-php-security-small.png

На главной странице книги вы найдете несколько интересных примеров кода и примеры глав.

Вы можете использовать метод, упомянутый выше (IP & UserAgent), описанный здесь: Как избежать кражи личных данных

Я думаю, что одна из главных проблем (которая рассматривается в PHP 6) - это register_globals. Прямо сейчас один из стандартных методов, используемых, чтобы избежать register_globals , состоит в использовании массивов $_REQUEST , $_GET или $_POST .

"correct" способ сделать это (по состоянию на 5.2, хотя там немного глючит, но стабильно по состоянию на 6, что скоро произойдет) - через фильтры .

Так что вместо того, чтобы:

$username = $_POST["username"];

вы бы сделали это:

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

или даже просто так:

$username = filter_input(INPUT_POST, 'username');

Этот документ фиксации сессии имеет очень хорошие указатели, где может произойти атака. Смотрите также страницу фиксации сеанса в Википедии .

Использование адреса IP на самом деле не самая лучшая идея в моем опыте. Например, в моем офисе есть два адреса IP, которые используются в зависимости от нагрузки, и мы постоянно сталкиваемся с проблемами, используя адреса IP.

Вместо этого я решил хранить сеансы в отдельной базе данных для доменов на моих серверах. Таким образом, никто в файловой системе не имеет доступа к этой информации сеанса. Это было очень полезно с phpBB до 3.0 (они с тех пор исправили это), но это все еще хорошая идея, я думаю.

Это довольно тривиально и очевидно, но обязательно session_destroy после каждого использования. Это может быть трудно реализовать, если пользователь не выходит из системы явно, поэтому для этого можно установить таймер.

Вот хороший учебник по setTimer() и clearTimer().

Основная проблема с PHP сеансами и безопасностью (помимо захвата сеанса) связана с тем, в какой среде вы находитесь. По умолчанию PHP хранит данные сеанса в файле во временном каталоге OS. Без каких-либо специальных мыслей или планирования это каталог, читаемый во всем мире, поэтому вся информация о вашей сессии является общедоступной для всех, кто имеет доступ к серверу.

Что касается ведения сеансов на нескольких серверах. В этот момент было бы лучше переключить PHP на сеансы, обработанные пользователем, где он вызывает предоставленные вами функции для CRUD (создание, чтение, обновление, удаление) данных сеанса. В этот момент Вы можете хранить информацию о сеансе в базе данных или memcache-подобном решении, чтобы все серверы приложений имели доступ к данным.

Хранение ваших собственных сеансов также может быть выгодно, если вы находитесь на общем сервере, потому что это позволит вам хранить его в базе данных, которую вы часто контролируете больше, чем файловую систему.

Я настраиваю свои сеансы вот так-

на странице входа в систему:

$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR']);

(фраза, определенная на странице конфигурации)

затем на заголовок, который находится по всему rest сайта:

session_start();
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR'])) {       
    session_destroy();
    header('Location: http://website login page/');
    exit();     
}

php.ini

session.cookie_httponly = 1
change session name from default PHPSESSID

eq Apache добавить заголовок:

X-XSS-Protection    1

Я бы проверил как IP, так и User Agent, чтобы увидеть, изменяются ли они

if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
    //Something fishy is going on here?
}

Если вы используете session_set_save_handler() , вы можете установить свой собственный обработчик сеанса. Например, вы можете хранить свои сеансы в базе данных. Примеры обработчика сеанса базы данных см. В комментариях php.net.

DB сеансы также хороши, если у вас есть несколько серверов в противном случае, если вы используете сеансы на основе файлов, вам нужно будет убедиться, что каждый webserver имел доступ к одной и той же файловой системе для чтения/записи сеансов.

Вы должны быть уверены, что данные сеанса безопасны. Посмотрев на свой php.ini или используя phpinfo(),вы можете найти настройки сеанса. _session.save_path_ говорит вам, где они спасены.

Проверьте разрешение папки и ее родителей. Он не должен быть общедоступным (/tmp) или быть доступен другими сайтами на вашем общем сервере.

Если вы все еще хотите использовать сеанс php, вы можете настроить php на использование другой папки, изменив _session.save_path_, или сохранить данные в базе данных, изменив _session.save_handler_ .

Вы можете установить _session.save_path_ в свой php.ini (некоторые поставщики позволяют это) или для apache + mod_php, в файле .htaccess в корневой папке вашего сайта: php_value session.save_path "/home/example.com/html/session" . Вы также можете установить его во время выполнения с помощью _session_save_path()_ .

Проверьте учебник Криса Шифлетта или Zend_Session_SaveHandler_DbTable , чтобы установить и альтернативный обработчик сеанса.