浅谈php(codeigniter)安全性注意事项

那么这个sess_time_to_update呢，这个顾名思义是刷新时间，这个时间是一个阈值，是指超过这个时间即刷新。并不是自动刷新，而是访问session的时候刷新！当我们在使用session的时候，他会去判断上次使用session跟这次使用session的间隔，如果间隔大于这个值，即刷新sid。这个使用，通常的表现就是我们在刷新页面，需要读取session以鉴权，那么就是在刷新页面的时候，两次间隔有超过这个时间，即刷新sid，那么结合上面的maxlifetime呢，就是刷新完之后session重新续命了，一个新的session写进去，连带一个重新开始的计时。

就是说呢，如果我们一会刷一下页面一会刷一下页面，那么必然会在必要的时候触发我们的刷新机制，那么我们的session就不会过期了，永远不会，如果经常性的在那里刷的话。如果两次刷新的时间间隔超过maxlifetime呢，这时会显示登录超时了，session已经没了，因为在过期了之后你去update，显然是不行了，update失败。

那么总结就是，这个maxlifetime决定了我们两次刷新之间不能超过多长时间，否则登录超时；而update呢肯定要小于maxlifetime，这是必然的，因为如果大于就无效了，因为过期了刷新没用。并且最好我觉得这个update最好是maxlifetime的一半以下。如果maxlifetime很长的话（希望改善用户体验，让用户老是登录超时总是不大好），那么这个update设的比较短也没关系，因为设的比较短的话，假设这个session被偷了那么有比较大的可能这个贼去使用的时候已经过期，安全性会比较高。

<2>one-times-tokens：

一次性的token

参考这个文章：

CSRF的攻击方式详解 黑客必备知识

老生常谈重放攻击的概念(必看篇)

以上这篇浅谈php(codeigniter)安全性注意事项就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持。