Apabila cuba melaksanakan sistem log masuk, adalah penting untuk mempertimbangkan pendekatan selamat untuk mengesahkan pengguna, menjana token , dan paparkan maklumat yang berkaitan pada halaman selamat.
Dalam kod yang disediakan, proses pengesahan nampaknya melakukan perbandingan nama pengguna dan kata laluan asas terhadap jadual pengguna. Walau bagaimanapun, untuk meningkatkan keselamatan, adalah disyorkan untuk memasukkan semakan yang lebih mantap, seperti pencincangan kata laluan atau pengasinan.
Selain itu, kod tersebut menjana token rawak dan memasukkannya ke dalam jadual token bersama kod kebenaran am pengguna. Walau bagaimanapun, ia tidak mengambil kira pengesahan token dalam jadual token. Untuk memastikan akses selamat ke halaman terhad, token hendaklah disahkan terhadap pangkalan data dalam skrip pengurusan sesi.
Untuk memaparkan nama pengguna pengguna yang disahkan pada halaman selamat, medan generalauth boleh digunakan. Walau bagaimanapun, dalam kod yang diberikan, nampaknya tiada mekanisme untuk mendapatkan semula maklumat ini daripada pangkalan data.
Dalam skrip yang bertanggungjawab untuk melindungi halaman tertentu, terdapat $ _GET['tk'] semak, tetapi tidak jelas sama ada nilai ini disahkan terhadap jadual token. Untuk menguatkuasakan akses selamat, adalah penting untuk mengesahkan token untuk memastikan ia sepadan dengan sesi pengguna yang sah.
Amalan Terbaik:
Atas ialah kandungan terperinci Bagaimana untuk Melindungi Halaman Ahli Sahaja dengan Sistem Log Masuk Teguh dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!