标签：codeigniter security session-cookies php

我已经为CodeIgniter构建了一个自定义身份验证系统(我知道有各种第三方库可用,但这是出于我自己的利益),但是我担心我遗漏了一些明显的东西,可能会使整个系统崩溃.

我使用CI会话(通过数据库)并为一些可能毫无意义的混淆加密cookie值.登录通过SSL进行(并且cookie被修改为仅安全).我也使用phpass对存储的密码进行哈希处理,尽管那在这里并不重要.这部分的某个地方可能存在薄弱环节,但是我主要担心的是,页面间检查基本上由if is_logged_in = true类型方法以及会话中的用户名组成.这一点让我感到担忧,因为这似乎太“容易”了.这种方法是否很脆弱？我应该计算用户代理或其他内容的逐页哈希值,并确保它们匹配吗？

任何指针将不胜感激.就像我说的,我知道已经存在的解决方案,但是我想在这里学习一些知识:)

解决方法:

您提到的一切都很好.我不熟悉phpass.确保在对密码进行哈希处理时使用的是盐.

if_logged_in = true检查就足够了,因为会话数据存储在服务器端.检查诸如用户代理之类的内容的原因是为了帮助防止会话劫持,即一个人获得另一人的会话ID.

标签：codeigniter,security,session-cookies,php
来源： https://codeday.me/bug/20191023/1914589.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。