如何防止 php 框架中的会话劫持？加密会话 cookie设置会话 cookie 的 httponly 标志设置会话 cookie 的 secure 标志使用 csrf 令牌

如何在 PHP 框架中防止会话劫持

会话劫持是一种攻击形式，攻击者可以窃取用户的会话 cookie 并冒充用户身份。为了防止会话劫持，PHP 框架提供了多种方法：

1. 使用加密的会话 cookie

立即学习“PHP免费学习笔记（深入）”；

加密会话 cookie 可以防止攻击者即使窃取了 cookie 也不读取其内容。可以使用 openssl_encrypt() 和 openssl_decrypt() 函数对 cookie 进行加密：

$cookie_value = 'user_data';
$key = 'super_secret_key';
$encrypted_cookie = openssl_encrypt($cookie_value, 'aes-256-cbc', $key);

2. 设置会话 cookie 的 HttpOnly 标志

该标志可防止攻击者通过 JavaScript 访问会话 cookie，从而最大程度地减少会话劫持的风险：

setcookie('PHPSESSID', session_id(), [
    'httponly' => true,
]);

3. 设置会话 cookie 的 Secure 标志

该标志要求会话 cookie 仅通过 HTTPS 连接发送，为会话添加额外的安全层：

setcookie('PHPSESSID', session_id(), [
    'https' => true,
]);

4. 使用 CSRF 令牌

CSRF 令牌是每次提交表单时生成的随机值，它有助于防止跨站请求伪造 (CSRF) 攻击。CSRF 攻击可能导致会话劫持，因此使用 CSRF 令牌至关重要：

// 生成 CSRF 令牌
$csrf_token = bin2hex(random_bytes(32));

// 在表单中包含 CSRF 令牌输入
echo '<input type="hidden" name="csrf_token" value="' . $csrf_token . '" />';

实战案例

让我们创建一个使用这些安全实践的简单登录表单：

// 连接到数据库并验证用户名和密码
$username = $_POST['username'];
$password = $_POST['password'];
$csrf_token = $_POST['csrf_token'];

if (!empty($username) && !empty($password) && $csrf_token === $_SESSION['csrf_token']) {
    // 验证成功，创建会话。
    session_regenerate_id();
    $_SESSION['username'] = $username;
    header('Location: welcome.php');
} else {
    // 验证失败，提示错误信息。
    header('Location: login.php?error=invalid_credentials');
}

通过遵循这些实践，您可以极大地减少 PHP 框架中会话劫持的风险。