Token di sicurezza errori in PHP

July 19

Nel linguaggio di scripting PHP, è possibile memorizzare un token di sicurezza in una variabile di sessione. Questo ti dà la possibilità di proteggere le pagine Web PHP-enabled e solo permettono alle persone che hanno un token di sicurezza per visualizzare il contenuto. Se un utente non dispone di un token di protezione, viene mostrato un errore di sicurezza. È possibile utilizzare questo evento di errore in PHP per reindirizzare l'utente alla pagina di login.

Scopo

Il token di sicurezza è impostato nella variabile di sessione per il visitatore. Ogni visitatore ha un token di sicurezza unico, in modo che il server è in grado di identificare l'utente e il logout della sessione dopo che l'utente è inattivo. È possibile utilizzare il token di sicurezza di sessione per indirizzare l'utente alle sue impostazioni personalizzate. Il token di sicurezza garantisce anche gli utenti hanno solo accesso alle proprie informazioni personali.

Risoluzione

Per porre rimedio a un problema di token di sicurezza, è necessario aggiungere la funzione di sessione per la parte superiore delle pagine PHP-coded. Senza la funzione di seduta, le caratteristiche token di sessione non vengono inizializzati e gli utenti non riceveranno un token di sicurezza quando il log-in Il codice che segue inizializza la funzione sessione e assegna un token di sicurezza per l'utente.:

session_start ();

Conservare la sessione

Se è necessario fare riferimento il token di sicurezza sessione come l'utente si sposta ad altre pagine del tuo sito web, si memorizzano il token nella variabile di sessione per l'utente. Questo passa il token da una pagina all'altra, il che significa che l'utente ha la stessa ragione mentre si muove attraverso il sito. Il codice seguente aggiunge un gettone di nome "mytoken" al variabile di sessione:

$ _SESSION [ 'Mytoken'] = token;

considerazioni

Un sito web sicuro dà all'utente la possibilità di effettuare il logout dal sistema. È necessario distruggere la variabile di sessione e il token di protezione dopo che l'utente è disconnesso per proteggere l'individuo contro il furto di dati. Il seguente codice distrugge il token di protezione salvato quando l'utente si disconnette:

session_destroy ();