PHP 会话安全检查 - PHP Session security checks

所以我一直在阅读会议，我不得不说，我很困惑。似乎会话在安全方面一样"损坏"，为什么他们没有在会话代码本身中实施更多的安全检查......

无论如何，我的问题。我发现这个网站有很多会话安全检查：https://wblinks.com/notes/secure-session-management-tips/通读它，其中大多数对我来说都很有意义。然而，最让我困惑的是什么时候也调用这些检查。

我是否在每个页面上调用这些检查？一方面，这是有道理的，因为有人可以劫持每个页面上的会话或其他东西，对吗？另一方面，在每个页面上完成这些检查会花费一些额外的时间，总体上可能会增加加载时间？

此时，我有以下代码。

<?php
if ($_SESSION['_USER_LOOSE_IP'] != long2ip(ip2long($_SERVER['REMOTE_ADDR']) & ip2long("255.255.0.0"))
    || $_SESSION['_USER_AGENT'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['_USER_ACCEPT'] != $_SERVER['HTTP_ACCEPT']
    || $_SESSION['_USER_ACCEPT_ENCODING'] != $_SERVER['HTTP_ACCEPT_ENCODING']
    || $_SESSION['_USER_ACCEPT_LANG'] != $_SERVER['HTTP_ACCEPT_LANGUAGE']
    || $_SESSION['_USER_ACCEPT_CHARSET'] != $_SERVER['HTTP_ACCEPT_CHARSET']
    || !isset($_SESSION['MY_SERVER_GENERATED_THIS_SESSION'])) {

    // Destroy and start a new session
    sec_session_destroy(); // Destroy session on disk
    sec_session_start();
    // Log for attention of admin and re-authenticate user...
}
if ($_SESSION['SESSION_START_TIME'] < (strtotime("-1 hour")) || $_SESSION['_USER_LAST_ACTIVITY'] < (strtotime("-20 mins"))) {
    sec_session_destroy();
    //Expire session and re-authenticate user...
}
function sec_session_start() {
    setcookie("sid",            // Name
          session_id(),         // Value
          strtotime("+1 hour"), // Expiry
          "/",                  // Path
          ".serellyn.net",      // Domain
          true,                 // HTTPS Only
          true);                // HTTP Only
    // Store these values into the session so I can check on subsequent requests.
    $_SESSION['_USER_AGENT']           = $_SERVER['HTTP_USER_AGENT'];
    $_SESSION['_USER_ACCEPT']          = $_SERVER['HTTP_ACCEPT'];
    $_SESSION['_USER_ACCEPT_ENCODING'] = $_SERVER['HTTP_ACCEPT_ENCODING'];
    $_SESSION['_USER_ACCEPT_LANG']     = $_SERVER['HTTP_ACCEPT_LANGUAGE'];
    $_SESSION['_USER_ACCEPT_CHARSET']  = $_SERVER['HTTP_ACCEPT_CHARSET'];
    $_SESSION['MY_SERVER_GENERATED_THIS_SESSION'] = true;
    // Only use the first two blocks of the IP (loose IP check). Use a
    // netmask of 255.255.0.0 to get the first two blocks only.
    $_SESSION['_USER_LOOSE_IP'] = long2ip(ip2long($_SERVER['REMOTE_ADDR']) 
                                          & ip2long("255.255.0.0"));
    $_SESSION['SESSION_START_TIME'] = time();
    $_SESSION['_USER_LAST_ACTIVITY'] = time();
    sec_session_start();            // Start the PHP session 
}
function sec_session_destroy() {
    session_unset(); 
    session_destroy();
    session_start();
    session_regenerate_id(true);
}

我的最后一个问题是，上面的代码是否有意义，或者您有任何建议可以使其更好或更少混乱。我应该在每一页都包含它，还是只在几页上包含它？

提前致谢

为什么他们没有在会话代码本身中实施更多的安全检查......

通常的"会话"模型是会话 ID 是一个强机密，任何泄露该 ID 的内容都将被视为漏洞。

此处列出的其他标头不是机密，并且在许多会导致会话 ID 泄漏的相同情况下可能是可证伪的。因此，检查它们的好处不太明显;这样做只是对会话劫持漏洞的部分缓解。另一方面，存在明显的兼容性缺点：

$_SESSION['_USER_AGENT'] ！= $_SERVER['HTTP_USER_AGENT']

如果浏览器升级

发生在会话内，或者在某些情况下，用户在安装或升级浏览器插件/扩展时无需重新启动，则用户代理可能会更改。

$_SESSION['_USER_ACCEPT'] ！= $_SERVER['HTTP_ACCEPT']

accept标头将根据它所期望的资源类型而变化，因此如果您执行诸如从PHP提供图像之类的操作，这将中断。

（$_SESSION['_USER_LOOSE_IP'] ！= long2ip（ip2long（$_SERVER['REMOTE_ADDR']） & ip2long（"255.255.0.0"））

这比完全的IP匹配要好，但对于从一个电信或wifi网络切换到另一个电信或wifi网络的移动用户来说，仍然会中断。

您当然可以将这些标头中的更改用作启发式方法，例如，决定是否要求对特定敏感操作或通常的风险评级事务进行重新身份验证。但是，当其中任何一个发生变化时，立即中断会话将使某些用户使用您网站的体验变得更糟。

这是一种权衡，每个应用程序可能需要不同的方法，并且可能需要将其与应用程序使用情况的特定知识联系起来。因此，大多数会话实现不会，默认情况下也无法真正做到这一点。