3
PHP 세션은 얼마나 안전한가요? 네이티브 PHP 세션을 사용하여 사용자를 인증 할 계획입니다. 사용자가 $ _POST 및 $ _GET 데이터처럼 세션 데이터를 수정할 수 있습니까?PHP - 세션 - 보안
A
답변
6
데이터 만 세션으로 간다. 따라서 세션은 허용 된 데이터만큼 안전하며 해당 데이터를 신뢰하고 사용하는 방법입니다. 또한 세션은 클라이언트가 세션 사용자를 식별하는 데 사용하는 sessionID를 기반으로합니다. 누군가 sessionID를 가로채는 경우 세션 ID가 훔친 사용자임을 에뮬레이션 할 수 있습니다. 이것은 SSH가 아닌 통신에서 발생할 수 있습니다. 따라서 로그인하지 않고 세션 ID가 보안 모드에서만 전송 된 경우가 아니면 중요한 항목에 대해 사용자를 식별하기위한 세션 ID를 신뢰하지 마십시오.
보안에 대한 다음 질문은 사용자에게 보낸 sessionID의 "추측 가능성"입니다. 위에서 언급 한 내용을 다루는 경우, 그 문서와 문서를 통해 얻을 수있는 시간에 PHP sessionID가 "추측 할 수있는"방법을 이해할 수 있습니다.
마지막으로 XSS 공격에주의하십시오. 인터넷을 통해 XSS의 발생률을 최소화하는 방법을 설명하는 여러 게시물이 있습니다.
3
PHP 세션은 사용자에게 제공되는 세션 쿠키만큼 안전합니다. 세션의 모든 데이터는 서버 측에 저장되므로 사용자는 사이트에서 제공하는 기능을 통하지 않고 임의로 수정할 수 없습니다. 그러나 PHP 세션 쿠키는 XSS (Cross-Site Scripting) 및 CSRF (Cross-Site Request forgery) 공격의 공통 대상입니다. 똑같은 세션은 잠재적 인 위험을 알고있는 한 사용자 인증을 수행하는 좋은 방법입니다.
일부 위키 백과 링크 : 당신이 개발자로서 사용자가 당신이 작성한 코드를 통해 세션에 넣어있을 때
관련 문제
- 1. PHP 세션 보안 로그인
- 2. PHP 세션 보안 질문
- 3. PHP 세션 보안 팁
- 4. PHP REMOTE_ADDR 및 보안 세션
- 5. Codeigniter/PHP 세션 보안 질문
- 6. 세션 보안?
- 7. 보안 세션
- 8. PHP 보안 검사 목록 (주사, 세션 등)
- 9. 모바일 장치 용 PHP 세션 보안
- 10. PHP/MySQL 보안 로그인 및 세션
- 11. PHP 세션 보안 : DB에 세션 저장 vs. 세션 변경 세션 저장?
- 12. PHP 세션 저장 변수
- 13. 편안한 API를 .. 세션 보안
- 14. 세션, 쿠키 및 보안
- 15. 세션 보안 구현
- 16. 세션 관리 및 보안
- 17. PHP 웹 세션
- 18. 여러 PHP 세션
- 19. SSL에서 PHP 세션 재설정
- 20. ASP.NET 세션 상태 보안 문제
- 21. 세션 및 보안 문자 사용하기
- 22. 세션 보안 및 ASP.NET Ajax
- 23. 스프링 보안 최대 로그인 세션
- 24. PHP 세션 문제
- 25. PHP 세션 변수는 얼마나 안전합니까?
- 26. 로그인 시스템 및 세션 (PHP)
- 27. 안전한 PHP 세션 쿠키 만들기
- 28. https와 http 사이의 PHP 세션 변수
- 29. PHP 세션 : 세션 만료 기간을 10 일로 설정하면 어떻게됩니까?
- 30. PHP 쿠키 보안 질문
다른 방법으로 인증을 수행 할 수 있습니까? $ _SESSION은 누구나 지금까지 이야기하는 유일한 방법입니다. –
내가 해낸 유일한 방법은 Perl에서 클라이언트 컴퓨터에 username/hashed 암호 쿠키를 저장하고 각 페이지로드시에이를 읽는 것입니다. 약간 위험하다. 쿠키를 복사하면 언제든지 컴퓨터에서 쿠키에 액세스 한 후 언제든지 귀하의 계정에 액세스 할 수 있습니다. – Randy
일부 환경에서는 IP 기반 서버 측 인증 (예 : 유효한 로그인 자격 증명을 얻은 후 서버의 데이터베이스에 IP 및 만료 타임 스탬프 저장)을 수행 할 수도 있습니다. 이것은 NAT 나 프록시 서버에서는 잘 작동하지 않습니다. – Randy