Я прочитал сообщение о безопасности на сеансе. Хотя я настраиваю большую часть этого в php.ini на моем общем хосте, некоторые я не могу.
1) Я не могу найти session.cookie_secure
и session.cookie_httponly
в моем php.ini, так как я все еще новичок в PHP, я не хочу просто добавлять эти две строки в файл, не зная никаких последствий. В качестве альтернативы я использовал подход, отредактировав .htaccess. Не уверен, работает это или нет.
IfModule php5_module<br>
php_flag session.cookie_secure on<br>
php_flag session.cookie_httponly on<br>
/IfModule<br><br>
Этот метод подходит?
2) В настоящее время я использую версию 5.3.28, и php.net заявил, что session.entropy_file
поддерживает многие системы unix, но начинает поддерживать Windows только после 5.3.3, что превышает мою версию. По умолчанию php.ini имеет следующее:
;session.entropy_length = 16
;session.entropy_file = /dev/urandom
Должен ли я беспокоиться или я слишком беспокоюсь?
3) Должен ли я использовать setcookie
или setrawcookie
?
4) Я следую безопасному созданию и уничтожению сеансов входа в PHP для безопасности, есть ли что-то еще, что мне нужно принять во внимание?
5.3.28
версия PHP новее, чем5.3.3
. И да, вы можете просто добавить любую из перечисленных опций в вашphp.ini
. Такжеsetcookie()
имеет альтернативные параметры для обоих. - person mario   schedule 18.06.2014