• CodeIgniter中的session处理


    在CI中你可以这样很简单地装载library:

        $this->load->library('newclass');
        注意系统中会有两个library目录,一个是system/application/libraries,还有一个是system/libraries,加载的时候系统会自动地检查两个地方,前者的优先级高于后者,这个不错。
        如果要处理session,可以这样提前加载:
        $this->load->library('session');
        这个一般可以放到构造器中,当然也可以在某个方法中单独加载。如果是用的多,可以修改config文件让每个页面自动加载:
        $autoload['libraries'] = array('session');
        信息可以这样加入session
        $newdata = array(
         'status' => 'OK',
                        );
        $this->session->set_userdata($newdata);
        读取:
        $status = $this->session->userdata('status'); userdata()是一个函数。

    如果使用下面 set_userdata()函数的写法,可以每次只添加一个用户数据。

    $this->session->set_userdata('some_name', 'some_value');


        安全

    通过修改config文件的二处设置可增加安全性:

    。 sess_match_ip: 如果你设定这个参数为TRUE, 当它读取会话数据时,CI 将会尝试相配使用者的 IP 地址。这将预防使用者使用'抢'来的cookie信息。但是,有些服务器 (ISP和大公司服务器) 可能存在不同 IP 地址上的相同使用者登录的请求。如果你设定这个参数为TRUE,可能会给他们造成麻烦。

    。 sess_match_useragent: 如果你设定这为TRUE, 当读取会话数据的时候, CI将会试着匹配使用者代理。这意谓试着“抢夺”会话的人还需要匹配真正用户的user agent设置。 它使“抢夺”变得稍稍有些困难。

    CI 也有一个 user_agent 类, 你可以这样装载:

    $this->load->library('user_agent');

    一旦装载, 你能要求它返回访问你网站的浏览器和操作系统的各种信息, 而不管它是一个浏览器,手机或机器人。 比如,如果你想列出叁观你的网站的机器人,你可以这样做:

    $fred = $this->agent->is_robot();
    if ($fred == TRUE)
        {$agent = $this->agent->agent_string();
    /*add code here to store or analyse the name the user agent is returning*/
    }

    类通过装入后开始工作, 与用代理,浏览器,机器人和其它的类型的数组作比较,这个数组存放在system/application/config/user_agents。

    如果你愿,你可以容易开发出使你的网站锁定特定机器人,特定浏览器类型的功能。不过,记得一个攻击者很容易写出一个代理类型,并返回他想要扔给你的那种类型。因此,他们能容易地伪装成通常的浏览器。 许多机器人,包括象CI 的 user_agents 数组已列出的 Googlebot,是'品行端正的'。 这意味着如果你设定你的 robots.txt 文件排除他们,他们将不会强行攻击。没有容易的方法去阻击一个不知名的的机械手,除非你预先知道他们的名字!

    在 CI框架中 ,会话机制保存那发出请求的 IP 地址,因此你可以使用这个功能维护一个网站的黑名单。可以用如下代码取回来自会话的 IP:

    /*remember to load the library!*/
       $this->load->library('session');
    /*look for an 'ip_address' variable in the contents of the session cookie*/
    $ip = $this->session->userdata('ip_address');

    因此你能针对黑名单作相应的安全处理,比如拒绝登录。

    你也可以用CI 的会话机制限制来自重复请求的损害-像是一个机器人通过重复地请求网页来使你的网站超载。 你也可以使用这一个机制处理 '字典'攻击,即一个机器人不断重复尝试数百或者数以千计的密码/用户名组合直到它找到正确的一组。

    因为 CI 的会话类保存每个会话的last_activity ,所以你能做到这一点。 每次,当网页被请求时, 你能检查多久以前这个IP地址的用户发出一请求,两次请求的间隔如果不正常,你可以终止会话,或放慢响应的速度。

    参考http://codeigniter.org.cn/forums/thread-212-1-1.html

    转自:http://xinbituya.blogbus.com/logs/21830169.html

  • 相关阅读:
    Mysql查询数据库表结构以及字段类型并展示
    Configutation读取properties文件信息
    通过淘宝接口免费获取IP地址信息
    SpringMVC+SPring+Maven+Mybaits+Shiro+Mybaits基础开发项目
    【微信开发】【Asp.net MVC】-- 微信分享功能
    NPOI导出多张图片到Excel
    年末回想 ---- 小步快跑
    【吉光片羽】短信验证
    【JavaScript吉光片羽】--- 滑动条
    电子书和纸质书有什么区别
  • 原文地址:https://www.cnblogs.com/youxin/p/3140883.html
Copyright © 2020-2023  润新知