浅谈php(codeigniter)安全性注意事项

狼蚁网站SEO优化长沙网络推广带来关于PHP（CodeIgniter）安全性注意事项的分享。对于网站开发者和管理员来说，确保网站的安全性至关重要。以下是关于PHP（CodeIgniter）安全性的八点注意事项。

一、关于HttpOnly的Session安全

为了保证session的安全性，一定要使用HttpOnly的session。否则，可能会受到跨站脚本攻击（XSS）。使用CodeIgniter框架的ci_session功能，它默认已经配置了更长的session ID位数和HttpOnly属性。避免使用原生PHP的session，而应选择ci_session，因为它的位数更长，更加安全。若要使用原生session，可以在phpi中进行设置，将session.cookie_httponly设为1，使原生session变成HttpOnly。

二、关闭phpinfo页面

为了防止攻击者利用phpinfo页面中的请求信息，如cookie等，一定要关闭phpinfo页面。

三、全站强制使用HTTPS

为了增加网站的安全性，应强制全站使用HTTPS。通过CDN跳转实现，本地开发环境也应配置HTTPS。如果某些环节无法使用HTTPS，如消息推送，可以建立一个新的站点进行处理。

四、开启Strict Mode

在session配置中，将session.use_strict_mode设为1，只使用服务端自己生成的session id，不使用用户客户端生成的session id。

五、防范CSRF跨站请求伪造

六、防范XSS攻击

CodeIgniter会对post数据进行XSS过滤。在调用post数据时，只需添加一个参数true，即可进行XSS过滤。

七、防范重放攻击

重放攻击是指攻击者截获数据包并重新操作一次以实现登录等目的。为防范重放攻击，每个表单都应包含一个隐藏的、只能使用一次的随机码token。使用redis存储token，设置到期失效并使用后直接删除。

八、用户安全登录流程

制定严格的用户安全登录流程。例如，设置session仅作会话使用，关闭浏览器即失效；设置session的有效期越短越安全，比如60秒；修改session的刷新时间，如30秒；使用redis存储session等。在phpi中配置session的有效期，默认是1440秒（24分钟），建议改为60秒或其他较短的时间。

在Web应用中，客户端与服务端的会话标识（session id，简称sid）扮演着至关重要的角色。在CodeIgniter框架中，如何妥善配置和管理这些session，特别是在使用Redis作为存储后端时，是一个值得深入的话题。

当提及到application/config/config.php中的配置时，实际上是在定义和管理会话的生命周期与行为。让我们逐一解读这些设置。

设置`$config['sess_driver'] = 'redis'`决定了使用Redis来存储会话数据，这提供了更高的性能和可扩展性。

`$config['sess_cookie_name'] = 'ci_session'`定义了会话Cookie的名称。当浏览器访问网站时，这个Cookie被用来识别用户。

而`$config['sess_expiration'] = 0`意味着会话在关闭浏览器后失效。这对于增强安全性是有益的，因为它减少了用户信息被恶意利用的风险。

`$config['sess_save_path']`定义了Redis服务器的地址和端口。确保此地址指向正确的Redis实例。

接下来的设置关于session id的刷新和过期时间，这对应用程序的安全性至关重要。`$config['sess_match_ip']`决定是否需要根据IP地址验证会话。在某些情况下，启用此功能可以增强安全性。

`$config['sess_time_to_update'] = 30`定义了多久更新一次sid的时间阈值。这意味着，如果用户两次访问之间的时间超过30秒，系统将刷新sid。这是一个重要的安全机制，因为它有助于防止会话劫持。这也与另一个设置`$config['sess_regenerate_destroy'] = TRUE`相结合，后者表示在重新生成sid时删除旧的sid。这进一步增强了安全性，因为即使sid泄露，攻击者也只能在其短时间内使用。