Deutsch
Deutsch
Das Verwalten von Benutzersitzungen in PHP ist eines der Kernfaktoren, die dynamische Webanwendungen erstellen. Standardmäßig verwenden PHP -Sitzungen Cookies, um Sitzungs -IDs zwischen Clients und Servern zu übergeben. Um die Sicherheit zu verbessern, das Sitzungsverhalten oder die Einhaltung der Browserkompatibilitätsanforderungen zu verbessern, können wir die Funktion Session_set_cookie_params () verwenden, um die Parameter des Session Cookie anzupassen. In diesem Artikel werden die Nutzungsmethoden und Best Practices dieser Funktion ausführlich vorgestellt.
Session_set_cookie_params () wird verwendet, um die relevanten Parameter des Sitzungs -Cookies vor dem Aufrufen von Session_start () festzulegen. Diese Parameter umfassen:
Lebensdauer : Die Gültigkeitszeit des Keks in Sekunden. Eingestellt auf 0 bedeutet, dass der Browser deaktiviert ist, wenn der Browser geschlossen ist.
Pfad : Der gültige Pfad, in dem sich das Cookie befindet, ist die Standardeinstellung / .
Domäne : Der gültige Domänenname, in dem sich das Cookie befindet.
Sicher : boolean, was angibt, ob der Keks nur über HTTPS übertragen wird.
httponly : boolean, das angibt, ob Cookie auf httponly eingestellt werden soll, wodurch der Zugriff über JavaScript verhindern soll.
Ab PHP 7.3.0 können die obigen Parameter auch durch Übergabe eines assoziativen Arrays festgelegt werden, das flexibler und lesbarer ist.
Hier finden Sie ein Beispiel für die Einstellung von Cookie -Parametern unter der traditionellen Art und Weise:
session_set_cookie_params (3600, "/", "m66.net", true, true); Session_Start (); Im obigen Code ist das Cookie nach 1 Stunde so eingestellt und ist nur im Domänennamen M66.NET und dessen Unterfänger gültig, wodurch der Zugriff über HTTPS erforderlich ist und nicht über JavaScript (erweiterte Sicherheit) zugänglich ist.
Für die klarere Codestruktur wird empfohlen, Array zum Festlegen von Cookie -Parametern zu verwenden:
session_set_cookie_params (['lifetime' => 3600, 'path' => '/', 'domain' => 'm66.net', 'Secure' => true, 'httponly' => true, 'samesit' => 'strikt']; Session_Start (); Hinweis: Der Samesit -Parameter besteht darin, CSRF -Angriffe zu verhindern. Kann auf "lax" , "streng" oder "keine" eingestellt werden. Bei Verwendung von "None" muss sich sicher sein.
Aktivieren Sie HTTPS : Es wird immer empfohlen, HTTPS zu verwenden und sich sicher zu stellen, um zu vermeiden, dass die Sitzungs-ID von Angriffen von Man-in-the-Middle abgefangen wird.
HTTPonly Protection XSS : Das Einschalten von HTTPonly kann verhindern, dass JavaScript auf Cookies zugreift und das Risiko von Skriptangriffen im Querbereich verringert.
Angemessene Einstellung der Gültigkeitsdauer : Es wird nicht empfohlen, einen übermäßig langen Keks -Lebens -Zyklus festzulegen, und es ist im Allgemeinen vernünftiger, ihn innerhalb weniger Stunden zu steuern.
Setzen Sie Domäne und Pfad : Stellen Sie sicher, dass Domäne und Pfad vernünftig eingestellt sind, und vermeiden Sie, dass Cookies zu nicht verwandten Subdomänen oder Pfaden auslaufen.
Falsche Reihenfolge : Session_set_cookie_params () muss aufgerufen werden, bevor Session_Start () aufgerufen wird, andernfalls ist die Einstellung ungültig.
HTTPS nicht aktiviert : Wenn Sie Secure => true verwenden, muss auf HTTPS zugegriffen werden, andernfalls sendet der Browser das Cookie nicht.
Probleme mit Browserkompatibilität : Die Samesit -Einstellung in älteren Browsern wird möglicherweise nicht unterstützt. Es wird empfohlen, zu entscheiden, ob sie es basierend auf der Zielbenutzergruppe verwenden sollen.
Verwandte Tags:
cookie
