用PHP维护负责的会话安全性有哪些准则？网络上到处都有信息，现在是时候将它们全部集中在一个地方了！

解决方案：

一种准则是，每次会话的安全级别更改时，都要调用session_regenerate_id。这有助于防止会话劫持。

我认为主要问题之一(在PHP 6中已解决)是register_globals。现在，避免使用register_globals的标准方法之一是使用$ _REQUEST，$ _ GET或者$ _POST数组。

做到这一点的"正确"方法(从5.2版本开始，虽然那里有些小虫子，但是从6开始稳定，即将推出)是通过过滤器。

因此，而不是：

$username = $_POST["username"];

你会做：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

甚至只是：

$username = filter_input(INPUT_POST, 'username');

这是非常琐碎且显而易见的，但请确保每次使用后都使用session_destroy。如果用户未明确注销，则可能难以实现，因此可以设置一个计时器来执行此操作。

这是有关setTimer()和clearTimer()的很好的教程。

PHP会话和安全性的主要问题(会话劫持除外)与我们所处的环境有关。默认情况下，PHP将会话数据存储在OS的temp目录中的文件中。无需任何特殊考虑或者计划，这是一个世界可读的目录，因此所有会话信息对有权访问服务器的任何人都是公开的。

至于在多台服务器上维护会话。到那时，最好将PHP切换到用户处理的会话，在该会话中它将调用我们提供的函数以CRUD(创建，读取，更新，删除)会话数据。届时，我们可以将会话信息存储在数据库或者类似内存缓存的## 解决方案中，以便所有应用服务器都可以访问数据。

如果我们在共享服务器上，则存储自己的会话也可能是有利的，因为它将使我们将其存储在数据库中，而数据库通常比文件系统具有更多的控制权。

我将同时检查IP和用户代理，以查看它们是否发生了变化

if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
    //Something fishy is going on here?
}

根据我的经验，使用IP地址并不是最好的主意。例如;我的办公室有两个IP地址会根据负载使用，我们在使用IP地址时经常遇到问题。

相反，我选择将会话存储在服务器上域的单独数据库中。这样，文件系统上的任何人都无法访问该会话信息。这对于3.0之前的phpBB确实很有帮助(它们已经修复了此问题)，但是我认为这仍然是一个好主意。

如果我们使用session_set_save_handler()，则可以设置自己的会话处理程序。例如，我们可以将会话存储在数据库中。有关数据库会话处理程序的示例，请参考php.net注释。

如果我们有多个服务器，则DB会话也很好，否则，如果我们正在使用基于文件的会话，则需要确保每个Web服务器都可以访问同一文件系统以读取/写入会话。

为了确保会话安全，需要做几件事：

对用户进行身份验证或者执行敏感操作时，请使用SSL。只要安全级别发生更改(例如登录)，就重新生成会话ID。如果愿意，我们甚至可以为每个请求重新生成会话ID。使会话超时不要使用全局寄存器注册将身份验证详细信息存储在服务器上。也就是说，请勿在Cookie中发送诸如用户名之类的详细信息。检查" $ _SERVER [''HTTP_USER_AGENT'']"。这为会话劫持增加了一个小障碍。我们也可以检查IP地址。但是，由于多个Internet连接上的负载平衡等原因，这会给具有更改IP地址的用户带来问题(在我们的环境中就是这种情况)。锁定对文件系统上会话的访问或者使用自定义会话处理对于敏感操作，请考虑要求登录用户再次提供其身份验证详细信息信任任何人过滤器输入，转义输出(cookie，会话数据也是输入)避免使用XSS(保持HTML的格式正确，看看PHPTAL或者HTMLPurifier)深入防御不要暴露数据

我们需要确保会话数据是安全的。通过查看php.ini或者使用phpinfo()，我们可以找到会话设置。 _session.save_path_告诉我们它们的保存位置。

检查文件夹及其父文件夹的权限。它不应该是公共(/ tmp)或者共享服务器上的其他网站可以访问的。

假设我们仍然想使用php会话，则可以通过更改_session.save_path_来将php设置为使用其他文件夹，或者通过更改_session.save_handler_来将数据保存在数据库中。

我们可以在站点根文件夹的.htaccess文件中的php.ini中(某些提供程序允许)或者apache + mod_php中设置_session.save_path_：
php_value session.save_path" /home/example.com/html/session"。我们还可以在运行时使用_session_save_path()_进行设置。

查看Chris Shiflett的教程或者Zend_Session_SaveHandler_DbTable来设置和替代会话处理程序。

此会议注视文件提供了很好的指示，指出了攻击可能发生的地方。另请参阅Wikipedia上的会话固定页面。

我的两分(或者更多分)：

{分块}

关于此主题有一本很小但很好的书：Chris Shiflett撰写的Essential PHP Security。

基本的PHP安全性http://shiflett.org/images/essential-php-security-small.png

在本书的首页上，我们会找到一些有趣的代码示例和示例章节。

我们可以使用上述技术(IP和UserAgent)，在此进行介绍：如何避免身份盗用