mysql - PHP是否登錄,單純使用session,是否夠可靠
给我你的怀抱
给我你的怀抱 2017-05-31 10:34:03
0
4
1102

目前我做的專案登入只是判斷用戶session是否存在,若有則登錄,若沒有則未登入

這種簡單粗暴的辦法,是不是安全,安全程度高低呢?

不知道目前成熟一點,並且設計相對簡單的登入驗證是什麼思路,麻煩大神指點

给我你的怀抱
给我你的怀抱

全部回覆(4)
我想大声告诉你

登陸狀態最簡單的就是session,而且是非常安全的
和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的

我想大声告诉你

個人認為使用$_SESSION來判斷使用者是否登入的方法不可靠.
比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?
所以還是建議使用cookie來驗證使用者身分.
cookie裡儲存用戶的ID和salt.
用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.

曾经蜡笔没有小新

session 比較簡單,但不夠可靠;需要更可靠的話,可以參考 微信 / QQ ,更可靠的參考網銀登入。

曾经蜡笔没有小新

session是否存在

這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)

熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板