mysql - PHP是否登錄，單純使用session，是否夠可靠

Question

目前我做的專案登入只是判斷用戶session是否存在，若有則登錄，若沒有則未登入

這種簡單粗暴的辦法，是不是安全，安全程度高低呢？

不知道目前成熟一點，並且設計相對簡單的登入驗證是什麼思路，麻煩大神指點

Answer 1

登陸狀態最簡單的就是session，而且是非常安全的
和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的

Answer 2

個人認為使用$_SESSION來判斷使用者是否登入的方法不可靠.
比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?
所以還是建議使用cookie來驗證使用者身分.
cookie裡儲存用戶的ID和salt.
用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.

Answer 3

session 比較簡單，但不夠可靠；需要更可靠的話，可以參考 微信 / QQ ，更可靠的參考網銀登入。

Answer 4

session是否存在

這個不可靠，因為session是存在cookie內的，是存在客戶端的內容，原則上伺服器應該不信任任何來自客戶端的信息，需要進行 validate。至於什麼樣的驗證邏輯，請自行設計（僅判斷“有” “無”，顯然是不夠的）