1、httponly
session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id。
要用框架的ci_session,更长的位数,httponly,这些默认都配好了。
不要用原生的phpsession,而要用ci_session。ci_session位数更长。
如果要用原生的session,应该这样设置(php.ini):
session.sid_length //sid的长度,这里要加长,默认的太短了
session.cookie_httponly = 1原生的session就会变成httponly了。
2、phpinfo
一定要关闭phpin
在PHP和CodeIgniter框架中,安全性是至关重要的,尤其是对于Web应用而言。本文将深入探讨几个关键的安全注意事项,以确保您的网站免受常见的网络攻击。
关于`HTTPOnly` Session,这是一个防止跨站脚本(XSS)攻击的重要措施。`HTTPOnly` cookies不允许JavaScript访问它们,从而限制了攻击者通过注入恶意脚本获取敏感的Session ID。在CodeIgniter框架中,`ci_session`默认就启用了`HTTPOnly`和更长的Session ID,所以推荐使用框架提供的`ci_session`而非原生PHP的`session`。如果你需要使用原生的`session`,记得在`php.ini`中增加`session.sid_length`以增大Session ID长度,并设置`session.cookie_httponly = 1`使Session成为`HTTPOnly`。
关闭`phpinfo()`函数是非常必要的,因为这个页面会暴露大量的服务器和应用程序配置信息,可能被攻击者利用。避免在生产环境中公开这些信息,可以通过自定义错误页面或配置文件来实现。
强制全站使用HTTPS协议是保护用户数据传输安全的基础。即使在本地开发环境中,也应配置HTTPS,以养成良好的安全习惯。若某些功能无法使用HTTPS,如消息推送,可以考虑创建单独的非HTTPS子域来处理这些任务。
对于防止跨站请求伪造(CSRF)攻击,CodeIgniter提供了内置的CSRF保护。通过在`application/config/config.php`中设置`$config['csrf_protection'] = TRUE;`,可以启用这一机制。但要注意,这会阻止所有外部请求,除非有API调用或其他合法的跨站请求,应暂时禁用此设置。
XSS(跨站脚本)攻击可以通过对POST数据进行过滤来预防。在CodeIgniter中,使用`$this->input->post('a', true);`会自动进行XSS过滤。不过,仅靠这个还不够,需要结合其他的防御策略,例如使用一次性Token来防止重放攻击。
一次性Token通常存储在服务器端(如Redis),并随每个表单一起发送。一旦使用,应立即删除或使其失效。这样,即使攻击者截取了数据包,也无法重复使用Token进行非法操作。
总结用户安全登录流程,关键在于妥善管理Session。以下是一些建议:
1. 设定Session仅作为会话标识,关闭浏览器后即失效。
2. 设置较短的Session有效期,如60秒,同时调整Session刷新时间,如30秒。
3. 使用Redis等持久化存储机制存储Session,以提高安全性。
4. 更新`php.ini`中的`session.gc_maxlifetime`以匹配Session有效期。
5. 在CodeIgniter配置文件中设置Redis存储Session的相关选项,包括`sess_driver`、`sess_cookie_name`、`sess_expiration`、`sess_save_path`、`sess_match_ip`、`sess_time_to_update`和`sess_regeneration_destroy`。
通过以上措施,可以显著增强PHP和CodeIgniter应用的安全性,防止各种常见攻击,保障用户数据的安全。在开发过程中,时刻保持对安全的关注,定期更新和审计代码,是防止安全漏洞的关键。
