php - 使用 Php 和 Mysql 保护 Web 应用程序的用户 session 和数据

Question

我需要使用 PHP 和 Mysql 创建一个非常强大和安全的 session 。我正在阅读以下指南:Create a Secure Session Management System in PHP and MySQL ;它安全可靠吗？请发布确保 session 安全的最佳方法。

目前这个基于上面指南的小脚本授予了安全性，但我知道它不是那么安全，请帮助我改进它:

function sec_session_start() {
  $session_name = "";
  $secure = true; // Imposta il parametro a true se vuoi usare il protocollo 'https'.
  $httponly = true; // Questo impedirà ad un javascript di essere in grado di accedere all'id di sessione.
  ini_set('session.use_only_cookies', 1); // Forza la sessione ad utilizzare solo i cookie.
  $cookieParams["lifetime"] = 1440;
  $cookieParams = session_get_cookie_params(); // Legge i parametri correnti relativi ai cookie.
  session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly); 
  session_name($session_name); // Imposta il nome di sessione con quello prescelto all'inizio della funzione.
  session_start(); // Avvia la sessione php.
  session_regenerate_id(true); // Rigenera la sessione e cancella quella creata in precedenza.
}

我的服务器现在是一台装有 Ubuntu 的简单机器，我只安装了几个程序，如 apache、php5、mysql、phpmyadmin 和 webmin。目前是通过 ssh 主动访问，我认为这会产生安全问题，但目前，该项目尚未启动，因此不存在此类问题。我正在为所有 SQL 脚本使用 PDO。

我最需要的是有关 如何提高 PHP session 安全性 的信息，因为在我看来，这些是目前风险最大的。我也在尝试针对 SQL 注入(inject)、暴力攻击和 DDos 优化脚本。

Answer 1

构建安全的 Web 客户端-服务器应用程序包含许多事件部件，并且很大程度上取决于部署:家中的单机、托管切片、托管 VM 与物理共址集群……以及您的整体架构申请。

根据您引用的指南(“如何在 PHP 和 MySQL 中创建安全的 session 管理系统”)以及您最关心 session 安全性的事实，我将把我的回答集中在安全性的这一方面。

请注意，您引用的指南专门针对通过使用加密将 session 信息安全地存储在数据库中的能力。该指南将在有人侵入您的服务器并访问您的机器并能够读取您的数据库的情况下保护您用户的 session 数据。

您明确引用的指南没有解决通过 https 建立安全连接的问题，从服务器的配置方式到您允许客户端连接的 SSL/TLS 版本，仅 https 就有很多变化的部分。确保只允许更新和安全的变体。这可能包含在许多其他 SO 帖子和互联网指南中。 The definitive guide to form-based website authentication看起来是个好的开始。

您使用的指南似乎是一个不错的开始，可确保在黑客“拥有”(具有完全访问权限)您的服务器的情况下，通过加密保护存储在数据库中的敏感 session 数据。我敢肯定，与任何安全问题一样，指南中也有值得批评的部分，因为没有什么是完全万无一失的。

安全方面的良好开端只是让黑客变得不那么简单；如果您是高值(value)目标，例如存储信用卡号码的银行或商家，甚至可能用于金融欺诈的社会安全号码和个人信息，您需要做的远不止这些。

要评估服务器上 SSL 配置和软件的安全性，请在以下位置输入您的域 SSL Labs Website Verification Site并获得 A+ 到 F- 等级，并附有详细的成绩单。

您一直在阅读的指南对降低 SQL 注入(inject)的风险没有任何作用，最好的方法是在将任何用户输入发送到数据库之前清理所有用户输入，以及编写非常好的 PHP 和 JavaScript 来防止任何可利用的错误。当然，暴力破解和 DoS 是其他未涉及的主题。

我要说的是，phpmyadmin 和 webmin 的密码的安全非常重要，因为对您机器的任何管理员级别密码访问都是一个漏洞。使用不可猜测的强密码，避免从未知或公共(public) wifi 热点访问服务器。如果您想通过 ssh 连接到您的机器来配置它，请考虑采取措施，例如禁止基于密码的身份验证(改为使用基于 key 的身份验证)。在备用端口上运行 ssh 守护程序可以阻止大量“脚本小子”式黑客以及大量僵尸网络。

这篇名为 The Six Dumbest Ideas in Computer Security 的社论给出了一些要避免的安全策略。 .它有点过时(2005 年)，但提供了一些关于安全哲学的有用(但自以为是)的大局观。

最后，从信誉良好的来源阅读所有你能阅读的内容，对它们持保留态度，并形成你自己的(知情的)意见!

祝你的项目好运!