cookie防止仿造安全总结

最新推荐文章于 2022-05-02 09:20:05 发布
原创 最新推荐文章于 2022-05-02 09:20:05 发布 · 2.8k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#query #mysql #php #浏览器 #table
#user
本文介绍了一种使用PHP进行更安全的管理员身份验证的方法。通过设置用户的唯一标识(如ID)和经过MD5加密的密码到Cookie中,并在验证时与数据库进行比对,增加了伪造Cookie的难度。

以前我们刚写PHP的时候,做后台,需要管理员身份认证。一般用COOKIE这么做的,特别是刚接触PHP的PHP爱好者:

admin/login.php

if(用户名&&密码正确) {
     setcookie('admin',1,time()+36400);
     echo '登录成功';
}


if($_COOKIE[admin] == 1) {
    echo '有权限';
}

但是这样会造成很大的安全隐患,很多浏览器可以直接修改COOKIE,或者直接在系统里修改。

只要伪造cookie,那么管理权限就拿到了

为了安全,这么做:

if(用户名&&密码正确) {
     setcookie('userid',用户在系统中的ID,time()+36400);
     setcookie('userpass',用户在系统中的32位md5密码,time()+36400);
     echo '登录成功';
}

判断权限的时候这么做:

if($_COOKIE[userid]) {
$query = mysql_query(select * user table where userid = '$_COOKIE[userid]' and userpass = '$_COOKIE[userpass]');
$row = mysql_fetch_array($query);
if($row[rank] <> 1) {
    echo '没有权限';
}
}

这样伪造cookie就没有任何作用了


现在我一般都这么做,如果这个方法有什么不对的还请指出。

Cookie安全问题与防范
X先生说
04-21 2793
前言 Cookie 往往用来存储用户的某些相关信息,例如身份,配置等。Cookie 使用起来非常简单和方便,然而如果不加注意,它又可能成为我们网站的安全隐患,带来极大的风险。 那么不正确地使用 Cookie 有哪些安全问题呢? Cookie 安全问题 Cookie篡改 这是最容易出现的情况,也就是直接修改 Cookie 的内容。我们知道,Cookie 是存储在客户端的,所以里面的内容可以通过浏览器...
cookie安全隐患以及防篡改机制
浮生离梦的博客
05-28 6943
一、cookie的认识 cookie 1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密) cookie的登录 1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站 cookie的生命周期 1)创建cookie的时候,会给c...
记一次COOKIE伪造登录
蚁景网安学院
03-08 3593
通过信息收集—发现它的密码规则如下(因重点是COOKIE伪造登录,故密码规则就不放图了,你懂的)
Cookie伪造
weixin_30399797的博客
07-18 288
用户登录的信息为了节省服务器端资源一般是要保存到客户端的,这时候就会用到Cookie,但是大家都知道Cookie是可以被伪造的,那怎么防止伪造呢? 其实也很简单,我的方法是多添加一个userkey的cookie,该值为userId或者userName加上一个服务器端固定的字符串,然后在经过MD5加密,MD5(userId+"mysite")或者MD5(userName+"mysite"),服务...
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2589
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
cookie和session的学习
m0_46550201的博客
02-11 2483
快速了解cookie和session
Cookie,Session和Token 你真的懂了吗
weixin_45743816的博客
05-02 1619
我们以登录为场景来分析这三个机制的流程。 使用Cookie: 用户输入凭据后登录成功,服务端将凭据以Cookie的形式返回给客户端也就是浏览器 浏览器保存Cookie,以后每次发请求的时候带上Cookie就可以了,这样用户就不需要每次都输入凭据,也就解决了HTTP无状态的问题,方便了用户。 优点如下: 1 将数据保存到客户端,减轻了服务端的压力。 2 解决了HTTP的无状态,方便了用户 缺点如下: 1 每个特定了域名下最多生成20个Cookie 2 有被CSRF攻击的危险。 举例: 用户在登录A网站www.
cookie、session、token之间的关系
xn_nancy的博客
03-03 3148
Cookie机制 由于HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了CookieCookie实际上是一小段的文本信息。Cookies是由服务器产生的。接下来我们描述一下Cookie产生的过程。浏览器第一次访问服务端时,服务器此时肯定不知道他的身份,所以创建一个独特的身份标识数据,格式为key=value,放入到Set-Cookie字段里,随着响应报文发给浏览器浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识,于是就保存起来,.
Cookie伪造
cainiao17441898的博客
05-18 5129
解题: 创建了一个user用户登陆之后发现。 抓包看一下。
Cookie伪造防修改
热门推荐
源码有毒的专栏
10-09 1万+
主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改。 防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime) signToken :签名密钥 由md5(value+saveTime+maxTime+”
php cookie伪造,Cookie伪造防修改
weixin_30527875的博客
03-20 343
主要防止非法用户修改cookie信息,以及cookie的超时时间传统cookie存储,Cookie(name, value),value很容易就被篡改。防修改cookie存储,Cookie(name, value+“”+signToken+“”+saveTime+“”+maxTime)signToken:签名密钥 由md5(value+saveTime+maxTime+”自定义密钥“)生成save...
防止cookies欺骗--相关解决方案
sollion的专栏
09-12 8225
一、网络上提供的解决方案 1、 最简单的是给Cookies加个加密算法。 保险点的是给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。 2、 实际上是这样的,不管cookies里保存了多少个字段,最后,还要增加一个验证字段,或者
Cookie仿冒测试
酷狗直播-锦凡歆的博客
05-20 692
服务器为鉴别客户端浏览器会话及身份信息,会将用户身份信息存储在 Cookie中, 并发送至客户端存储。攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户 身份的目的,并拥有相关用户的所有权限。 锦凡歆在‘来疯’直播唱歌最好听 修复建议 建议对客户端标识的用户敏感信息数据,使用Session会话认证方式,避免被他人仿 冒身份 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值