会话和cookie在PHP中的角色

Question

我在php中设计角色的方式如下。当用户登录代码时，检查用户是否是主持人。

如果他是一个简单的用户，他会获得一个不需要https的cookie。除此以外， 如果他是主持人，我会分配一个这样的特殊会议：

ini_set('session.use_only_cookies',true);
session_start();

     //generate pass for the database && session
    $pass=microtime().Moderator::generate_salt(30);
    //Insert pass
    Moderator::insert_moderator($pass);

    //Encrypt the pass and give it back to the users session ID
    $_SESSION["mod"]=$mod->encrypt_pass($pass);

上面的代码占用了主持人登录的登录时间，附加随机盐，并根据会话开始或结束时插入或更新主持人传递（在这种情况下，这是第一次，mod被分配了他登录时会话。）

另请注意，这是我使用的加密和dycryption算法：

       public function encrypt_pass($session_id)
   {
       $session_id=strip_tags($session_id);
       $session_id=trim($session_id);
       //inititialization vector is being created.- a seed for random encryption and decryption
       srand((double)microtime()*10000);
       //opens an ecryption algorithm for use.
       $this->td=mcrypt_module_open(MCRYPT_RIJNDAEL_256,'',MCRYPT_MODE_CFB,'');
       //creates an IV for out encryption. Two parameters: size of IV ti create and method used to create IV
       $this->iv=mcrypt_create_iv(mcrypt_enc_get_iv_size($this->td), MCRYPT_RAND);
       //get maximum size the algorithm will take.
       $this->ks=mcrypt_enc_get_key_size($this->td);
       //here teh key is created 
       $this->keys=substr(sha1(Moderator::generate_salt()),0, $this->ks);
       //initialize the algorithm engine using , IV, and key we selected
        mcrypt_generic_init($this->td,$this->keys,$this->iv);
       //Two parameters, the algorithm resource and the data we actually want to encrypt. returns an incrypted value
       $this->ciphertext=mcrypt_generic($this->td,$session_id);
       //clean up!! parameter is -- algorithm resource
       mcrypt_generic_deinit($this->td);
       //end clean up!!
       mcrypt_module_close($this->td);
       //Goes to the moderators session $_SESSION['$ciphertext'] 
       return $this->ciphertext;
   }

   public function decrypt_pass($session_id)
   {
       $session_id=strip_tags($session_id);
       $session_id=trim($session_id);

       mcrypt_generic_init($this->td, $this->keys,$this->iv);
       $plaintext=mdecrypt_generic($this->td,$session_id);
       mcrypt_generic_deinit($this->td);
       mcrypt_module_close($this->td);
   }

这可以防止我进行会话固定/劫持，对于黑客来说，抓住主持人会话ID会非常困难，即使他这么做，主持人再次发出请求时，密码也会重置，如果他关闭会话结束的浏览器。这使得黑客有一个很小的时间框架来获取密码并假装成为主持人。

问题：这是否足以应对会话劫持/录制或我是否应该添加其他预防措施？

请注意，我使用此算法的方式确实会减慢请求和响应。但主持人数量有限，不超过10人。

代码会根据主持人的每个请求自行更新

Answer 1

您的算法的弱点在于您无论如何都无法识别特定用户。你只是把时间和一些随意的盐放在一起。 为防止会话/ cookie劫持，您需要尽可能多地将加密字符串放入加密字符串中。例如，客户端的操作系统，用户代理，浏览器版本，IP，转发IP等等。在这种情况下，您将解密已发送给用户的字符串，假设只有您可以对其进行解密，因为只有您拥有AES密钥，并且将验证您已插入到加密字符串中的所有参数。甚至一个因素验证失败意味着可能有人劫持了会话，你需要销毁它。

我建议你在http://www.hardened-php.net/suhosin/看看Suhosin。这是一个PHP插件，可以为您完成上述所有操作。它透明，重量轻。 当使用Suhosin时，请注意通过javascript设置cookie，因为javascript设置了未加密的cookie，虽然服务器无法读取它。