PHP登录系统
发布时间:2020-12-13 16:35:50 所属栏目:PHP教程 来源:网络整理
导读:我正在使用 PHP为Web应用程序创建登录系统.我的问题是,仅在当前会话中存储用户登录信息是否安全?例如,如果名为John的用户成功登录到我的站点,我可以只存储$_SESSION [‘Username’] =’John’和$_SESSION [‘LoggedIn’] = 1然后检查$_SESSION [‘LoggedIn
|
我正在使用
PHP为Web应用程序创建登录系统.我的问题是,仅在当前会话中存储用户登录信息是否安全?例如,如果名为John的用户成功登录到我的站点,我可以只存储$_SESSION [‘Username’] =’John’和$_SESSION [‘LoggedIn’] = 1然后检查$_SESSION [‘LoggedIn’]在每页上等于1以验证用户是否实际登录?或者有更好的方法吗?我不知道这可能导致我的头脑中出现任何问题,但我想确保我不会在我的网站上留下一个可能导致问题的大洞.
另外,我在数据库中存储用户密码salt的md5哈希值,而不是它们的实际字符串密码,这样就不用担心了. 如果您需要更多信息或者不清楚,请与我们联系.谢谢!
这是一个非常合理的方法.您的访问者将永远无法编辑您服务器上的会话数据(除非服务器本身不安全,在这种情况下任何公平的游戏都是如此),因此会话中的LoggedIn = 1值非常安全.
但是,请记住一个访问者劫持另一个访问者的会话(通过窃取会话密钥)的风险.帮助防止这种情况的一种方法是在会话中存储访问者的IP地址(来自$_SERVER [‘REMOTE_ADDR’]),然后在以后的请求中确认它没有更改. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |