我想使用cookie / session建立一个登录系统,但我不确定它们的安全性是什么样的.
对于会话,如果“login”设置为“yes”,我可以信任吗?用户是否能够改变它返回的内容?我应该只存储加密密码并在每个页面上进行检查吗?
这可能听起来像初学者的东西,但如果有人能为我澄清它会真的有帮助.在此先感谢您的回复!
如果设置会话变量,则除非用户劫持另一个会话cookie,否则用户无法直接更改它.
原文链接:https://www.f2er.com/php/135572.html您主要需要注意的是共享主机,您的会话数据不安全(通常其他网站可以看到它).
值得注意的是,cookie数据也不安全.不应该依赖于不应依赖表单数据的方式(无论客户端验证告诉您).
您使用密码的最佳做法是:
>以密码形式将密码存储在数据库中,最好是SHA1(第一选择)或MD5(第二选择);>当您收到用户密码时,对其进行加密并根据数据库中存储的内容进行检查;>在用户会话中设置登录的用户名;>在一段时间后(即使它的日子)过期cookie,而不是永远持续;和>尽可能使用安全连接(HTTPS而不是HTTP). SSL证书很便宜.
