mysql - Adakah ia cukup dipercayai untuk log masuk dengan PHP dan hanya menggunakan sesi?
给我你的怀抱
给我你的怀抱 2017-05-31 10:34:03
0
4
1069

Log masuk projek semasa yang saya lakukan hanyalah untuk menentukan sama ada sesi pengguna wujud Jika ia wujud, log masuk, jika tidak, maka ia tidak log masuk

Adakah kaedah mudah dan kasar ini selamat?

Saya tidak tahu apakah idea semasa untuk mereka bentuk pengesahan log masuk yang lebih matang dan agak mudah, sila beri saya nasihat

给我你的怀抱
给我你的怀抱

membalas semua(4)
我想大声告诉你

Status log masuk yang paling mudah ialah sesi, dan ia sangat selamat
Seiring dengan sesi, terdapat kuki, ia tidak selamat seperti sesi, tetapi jika ia ditetapkan, tidak akan ada masalah keselamatan.

我想大声告诉你

Secara peribadi, saya rasa kaedah menggunakan $_SESSION untuk menentukan sama ada pengguna log masuk tidak boleh dipercayai
Sebagai contoh, selepas pengguna menukar kata laluannya, bagaimanakah program boleh membuat log masuk lama tidak sah
Jadi masih disyorkan untuk digunakan kuki untuk mengesahkan identiti pengguna.
Kuki menyimpan ID identiti dan garam pengguna.
Apabila pengguna berjaya mendaftar atau menukar kata laluan, garam dijana semula dan jadual pengguna dikemas kini.

曾经蜡笔没有小新

sesi agak mudah, tetapi tidak cukup dipercayai; jika anda memerlukan lebih kebolehpercayaan, anda boleh merujuk kepada WeChat / QQ, dan untuk maklumat yang lebih dipercayai, rujuk log masuk perbankan dalam talian.

曾经蜡笔没有小新

sesi wujud

Ini tidak boleh dipercayai kerana sesi disimpan dalam kuki dan merupakan kandungan klien Pada dasarnya, pelayan tidak seharusnya mempercayai sebarang maklumat daripada pelanggan dan perlu disahkan. Mengenai jenis logik pengesahan, sila reka sendiri (hanya menilai "ya" dan "tidak" jelas tidak mencukupi)

Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan