php用户登录之cookie信息安全分析
发布时间:2020-12-12 21:30:42 所属栏目:PHP教程 来源:网络整理
导读:本篇章节讲解php用户登录之cookie信息安全。供大家参考研究具体如下: 大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从
|
本篇章节讲解php用户登录之cookie信息安全。分享给大家供大家参考,具体如下: 大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端,并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造cookie者登录任意用户的账户。 下面就说说平常一些防止用户登录cookie信息安全的方法: 一、cookie信息加密法cookie信息加密法即用一种加密方法,加密用户信息,然后在存入cookie,这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用,无法另外伪造cookie信息。 这里附上一个加密函数: 0) &&
substr($result,10,16) == substr(md5(substr($result,26).$keyb),16)) {
return substr($result,26);
} else {
return '';
}
} else {
// 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
// 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
return $keyc.str_replace('=','',base64_encode($result));
}
}
$str = 'abcdef';
$key = 'www.52php.cn';
echo $jm = authcode($str,'ENCODE',$key,0); //加密
echo "
";
echo authcode($jm,'DECODE',0); //解密
?>
这样当设置用户信息的cookie时,就无法对其进行伪造: $uid,"username"=>$username);
$user = base64_encode(serialize($user));
$user = authcode($user,'www.52php.cn',0); //加密
setcookie("user",$user,time()+3600*24);
?>
二、用加密令牌对cookie进行保护$uid,"username"=>$username,"hash"=>$hash);
$user = base64_encode(serialize($user));
setcookie("user",$hash_expr);
然后把$hash和$hash_expire 存入member表中hash和hash_expire对应字段中,也可以存入nosql,session 用户伪造cookie时,hash无法伪造,伪造的hash和数据库中的不一致 用户每次登陆,这个hash_expire有效期内不更新hash值,过期则更新 更多关于PHP相关内容感兴趣的读者可查看本站专题:《》、《》、《》、《》、《》、《》、《》、《》、《》及《》 希望本文所述对大家PHP程序设计有所帮助。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |