登录系统(PHP)Cookie和会话
发布时间:2020-12-13 18:22:21 所属栏目:PHP教程 来源:网络整理
导读:我想使用cookie / session建立一个登录系统,但我不确定它们的安全性是什么样的. 对于会话,如果“login”设置为“yes”,我可以信任吗?用户是否能够改变它返回的内容?我应该只存储加密密码并在每个页面上进行检查吗? 使用cookies,我是否需要检查mysql注入等
|
我想使用cookie / session建立一个登录系统,但我不确定它们的安全性是什么样的.
对于会话,如果“login”设置为“yes”,我可以信任吗?用户是否能够改变它返回的内容?我应该只存储加密密码并在每个页面上进行检查吗? 使用cookies,我是否需要检查mysql注入等内容? 这可能听起来像初学者的东西,但如果有人能为我澄清它会真的有帮助.在此先感谢您的回复!
如果设置会话变量,则除非用户劫持另一个会话cookie,否则用户无法直接更改它.
您主要需要注意的是共享主机,您的会话数据不安全(通常其他网站可以看到它). 值得注意的是,cookie数据也不安全.不应该依赖于不应依赖表单数据的方式(无论客户端验证告诉您). 您使用密码的最佳做法是: >以密码形式将密码存储在数据库中,最好是SHA1(第一选择)或MD5(第二选择);>当您收到用户密码时,对其进行加密并根据数据库中存储的内容进行检查;>在用户会话中设置登录的用户名;>在一段时间后(即使它的日子)过期cookie,而不是永远持续;和>尽可能使用安全连接(HTTPS而不是HTTP). SSL证书很便宜. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |