이 질문이 전에 제기 된 경우 사과드립니다. 내가 이해하는 방식으로 사물을 설명하는 답을 찾는 데 어려움을 겪고 있습니다.공유 서버 보안 쿠키 로그인
나는 공유 리눅스 서버를 사용하여 PHP/mysql 사이트 또는 두 곳을 호스팅하고 있습니다. 세션 (세션 데이터가 데이터베이스에 저장되어 있음)을 사용하는 관리 영역에 대한 로그인 코드를 작성했으나 문제는 20 분 정도 지나면 세션 시간 초과입니다. 나는 호스팅 제공 업체와 통화했으며, 내가 이것을 변경할 수있는 방법이 없다는 것을 알 수 있습니다. htaccess와 개별 php.ini 파일에서 gc_maxlifetime을 변경하려고 시도했습니다. 둘 중 하나가 시스템을 중단 시키거나 작동하지 않습니다. 접대 공급자는 나의 시도가 아마 무익하다는 것을 확인했다.
그래서 쿠키를 테스트로 사용하도록 전환했습니다. 그러나 나는 이제 보안 문제가 우려된다. 내가 저장 한 쿠키 (username/shar 암호화 된 암호, 사용자 에이전트/remote_address, 토큰 및 일부 시간 관련 항목)는 쿠키에서 모두 암호화 된 AES이며 일부 소금, IP 검사 및 여러 번의 잘못된 로그인 이후 잠김을 사용합니다. 시도.
토큰은 로그인해도 변경되며 실제로 보호되는 데이터베이스에 저장됩니다. 나머지 항목은 로그인 한 사용자에 대해 올바른 데이터가 표시되는지 확인합니다. 그 토큰이 내가 가지고있는 유일한 보호 수단이라는 점에 우려하고 있습니다. 호스트에 대한 제 제약 조건을 감안할 때 몇 가지 제안/도움을 얻을 수 있거나 더 나은 솔루션을 제공하거나 적어도 내가 한 것에 더 많은 코드를 추가 할 수 있기를 기대했습니다.
아마도 내가 완전히 잘못된 방법으로 갔을 것입니다. 그냥 다시 반복 처리를하기까지 내가 세션 20 분 :(후 타이밍을 중지 얻이 수없는 것 말할 수 있습니다.
감사합니다 사전에 어떤 도움.의 끔찍한 방법입니다
왜 가능하지 않은지 이유를 제공자에게 문의해야합니다. – Gumbo
@Gumbo 내가 겪고있는 문제는 실제로 내가 사용하는 여러 호스팅 제공 업체와 함께 일어나고 있습니다. 그들은 영국에서 잘 알려진 제공자입니다. 나는 왜 그들에게 이전에 물어 보았습니다. 그리고 그것들은 그들의 서버가 설치된 방식이라고 말합니다 - 그것보다 더 많은 정보를 제공하지 마십시오! 나는 php_value session.cookie_lifetime 3600을 사용하여 htaccess를 리셋하려고 시도했지만 내부 서버 오류가 발생합니다. 내 자신의 로컬 버전을 추가 php.ini에 관해서는 그것도 작동하지 않는 것 :(.한 가지 대답은 호스트를 이동하는 것입니다 - 나는 다른 사람이 같은 큰 호스팅 제공 업체와 같은 문제가없는 이상한 찾습니다. – kaliok