如何避免cookie伪造？

我用的php，初学者的做法一般就是
这样设置

setcookie('username','xxx',time()+3600*24);
setcookie('password','xxx',time()+3600*24);

再这样读取

$logged = false;
$username = @$_COOKIE['username'];
$password = @$_COOKIE['password'];
if(isset($username)&&isset($password)){
$logged=true;
$user = getUser($username,$password);
}

这种做法的话用户名和密码就都是明文保存在本地的，不安全对吧。
那我可以加密后再保存到cookie里，登陆的时候再在后台程序里解密，加解密的方法只有我自己知道。
这样是可以避免用户名密码泄露，但是要通过cookie伪造登陆应该还是很方便。
我想知道后者一般是如何避免的？谢谢指教。

icyflash

2011-06-04 14:11:59 +08:00

不过伪造登陆的话，除非你把会话状态时间设置很短或关闭浏览器就清除，不然抓包后都可以伪造的

reus

2011-06-04 17:00:46 +08:00

$key = rand(0, 65535);
//然后把$key存起来，每个用户都不同的
setcookie('username', $username, xxx);
setcookie('sig', sha1($username . $key . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']), xxx);

验证的话：
$logged = false;
$key = get_key($_COOKIE['username']);
if (sha1($_COOKIE['username'] . $key . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']) == $_COOKIE['sig']) {
$logged = true;
}

supersheep

2011-06-04 17:10:40 +08:00

@icyflash @Hyperion @manhere 下午一直在看cookie+session验证的内容。
大致思想似乎是把sessionid存在cookie里，然后每次只通过session来确认状态，这个我能明白。
但是关闭浏览器就失效了，这个时候cookie里的session就只是一个值而已了。是不是要把相关信息存在数据库里？具体要怎么做，我有点迷糊。

@reus 的方法看明白了，这个$key也是存在数据库里吗？感觉随机数也有一定的重复概率啊，不过好像这里重复也没有关系。

reus

2011-06-04 17:22:43 +08:00

@supersheep 就是动态密钥，其实你全部用同一个密钥也是ok的，风险会大些
要伪造一个cookie那必然需要知道加密密钥，而通过sha1或者md5过的字符串是不能反推出密钥的，所以没法伪造
把ip和user-agent加入加密过程里可以对抗cookie泄漏，不是那个ip那个浏览器，泄漏了也不能用
挺安全的，除非你机器整个被拿下……

reus

2011-06-04 17:26:35 +08:00

哦，还要把密码也加进去，这样密码修改以后，验证也会失效，用来防止密码泄漏
sha1($username . $password . $key . $ip . $user_agent) 这样

supersheep

2011-06-04 17:28:52 +08:00

@reus 嗯，你的方法我看明白了，就是要多开一个地方存这个key。另外还是想继续听听前几楼的见解。

reus

2011-06-04 17:30:09 +08:00

@supersheep 觉得麻烦可以用同一个key啊，phpmyadmin就是只用一个key的，在配置文件里面可以看到

Livid

2011-06-04 17:34:31 +08:00

嗯，赞成 8 楼的做法。

在 cookie 里存 session id。

在服务器上存 session data。session data 有 user id 及第一次验证成功时的 IP 和 user-agent。

session data 在每次读取出来之后，进行验证，如果发现 IP 或 user-agent 有变，那么就撤销此 session。

supersheep

2011-06-04 17:41:17 +08:00

@Livid 如何根据cookie里存的session去获得服务器上对应的session data呢？
@reus 想到，验证需要password的话，password是存在哪里呢？

reus

2011-06-04 17:42:43 +08:00

@Livid 如果不验证密码，那如果密码泄漏了，即使自己修改了密码，窃取方也还是可以成功验证的，所以需要保证密码修改之后所有session都失效

Livid

2011-06-04 17:43:15 +08:00

@supersheep 服务器的 MySQL 数据库有一张 session 表，PK 是 session id，也就是在客户端 cookie 里存的那个 session id。

另外，我觉得都 2011 年了，可以考虑不用学 PHP 了，建议你看看这个：

http://www.v2ex.com/tornado/index.html

manhere

2011-06-04 17:44:15 +08:00

@supersheep
验证需要password的话，password是存在哪里呢？

password肯定在服务器端，验证并不是要返回密码给客户端，只是给它一个合法的身份。

reus

2011-06-04 17:44:46 +08:00

@supersheep password就在数据表里面啊，就是再次生成一次加密串，看和cookie里面的是否一样，一样就是合法的否则非法

supersheep

2011-06-04 17:47:05 +08:00

@Livid php也不算深入，只不过是自己目前实现想法最顺手的工具，还有就是部署方便。python有机会再研究吧，gae被墙多少会有点儿别扭。感谢推荐。

reus

2011-06-04 17:58:48 +08:00

部署方便也是我还在用php的原因，因为SAE只支持php，做面向国内大众的站，这是成本最低的方式了，免费空间和流量
虚拟主机也不难找，选择多
python或者rails的话，没有虚拟主机，都必须用vps或者独立主机，这个成本太高了，国内的话。国外的vps网速是不够的
php语言本身是很不好的，啰嗦，函数命名不规范，写起来不美观。解决方法是用这个 http://code.google.com/p/php-snow/ 或者这个 http://fructoselang.org/
或者干脆自己做个DSL，我选择了这个……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/13993

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.