我已经在会话中阅读了一些安全帖子。虽然我在我的共享主机中的php.ini中配置了大部分内容,但有些我不能。
1)我在php.ini中找不到session.cookie_secure和session.cookie_httponly,因为我还不熟悉PHP我不想在文件中添加这两行而不知道任何后果。或者,我通过编辑.htaccess使用了一种方法。不确定它是否有效。
IfModule php5_module<br>
php_flag session.cookie_secure on<br>
php_flag session.cookie_httponly on<br>
/IfModule<br><br>
这种方法好吗?
2)目前我正在运行5.3.28版本,php.net声明session.entropy_file支持许多unix系统,但仅在5.3.3之后开始支持Windows超过我的版本。默认的php.ini有:
;session.entropy_length = 16
;session.entropy_file = /dev/urandom
我应该担心还是我担心太多?
3)我应该使用setcookie还是setrawcookie?
4)为了安全起见,我正在关注Securely creating and destroying login sessions in PHP,我还需要考虑吗?
答案 0 :(得分:1)
1)那些肯定应该在你的php.ini文件中,但是它们会被注释掉,这意味着它们以;开头,你需要取消注释它们。如果由于某种原因他们不在那里(他们会),你可以安全地添加它们。
2)如果没有正确的密码学和安全性知识,我就不会开始改变熵值,默认情况会很好。
3)您应该使用setcookie(),因为它会进行URL编码,这可能是您想要的。
4)是的,你需要考虑到这一点,非常重要。安全永远不应该是事后的想法,阅读帖子中的所有材料,如果你不理解它,请浏览一下。在线有很多优秀的资源,我真的建议通过OWASP阅读。