我正在編寫一個'記住我'裝備的登錄表單,到目前爲止我閱讀過的教程(部分是爲了確保我正確地做到了這一點)都表示將加密的密碼存儲在cookie以及用戶名。然後,每次PHP檢查當前用戶是否未登錄時,檢查他們的cookie並查找這些值。如果用戶名相匹配的密碼,你在。PHP「記住我」的安全漏洞?
對我來說,這是一個巨大的安全漏洞。如果有人要破解數據庫或以某種方式訪問加密密碼,他們甚至不需要破解它們。只需設置你自己的cookies並去。我是正確的,還是隻是偏執?
我的登錄系統使用會話跟蹤當前的用戶ID,並快速登錄/ 1/0註銷支票。用戶不能編輯會話AFAIK,所以這是安全的(如果不是,請讓我知道)。我正在考慮將會話ID存儲在cookie中,以便稍後恢復,但這也不安全。
我很在意我的用戶的安全,我如何能夠正確地保護自己的信息,同時仍保持正常運轉的網站?
我不會存儲加密的密碼,只需將用戶標識存儲在X天內過期的cookie中。對於「敏感」領域(例如賬戶/檔案管理),如果他們沒有有效的$ _SESSION(他們在登錄時應該設置),則可以要求他們登錄。 – JennyDanger
如果當前存儲會話ID的cookie如果存儲在「不安全」中? –
@georgefox目前,我沒有存儲任何會話ID,我只是說這是記住我的功能的可能性。 – Scott