2
我正在試圖建立一個安全的PHP登錄系統,但遇到了一些我不確定如何處理的過程。檢查用戶是否登錄
用戶登錄後,檢查他們在後續頁面上登錄的最佳方法是什麼?目前我正在設置會話變量,但是我應該使用另一種方法嗎?我應該每次登錄時都生成一個唯一的ID,如果有的話,我會如何使用它?將數據庫&中的副本作爲Cookie存儲並在每個頁面加載比較它們?或者你們可以想到的其他方法。
謝謝大家提前。
Q
檢查用戶是否登錄
A
回答
1
我總是使用會話方法,但是如果您想要非常安全(防止會話劫持),您可以將當前IP和用戶的其他特徵與會話ID一起保存在數據庫的MD5哈希中。然後,在登錄後打開頁面時,您可以使用客戶端屬性重新生成MD5哈希,並使用數據庫中的會話ID檢查該哈希。通過這種方式,劫持會話將會更加困難,甚至是不可能的。當然,'mysql會話'必須被刪除,或者不能重複使用,因爲用戶可能會更換計算機等,但它會阻止劫持活動會話。
+0
理論上一個堅實的計劃,但我會盡量遠離cookie,如果我瀏覽您的網站無痕/匿名模式,您的整個系統將失敗。只在數據庫和總是可用的信息,可以出錯的信息少。 – 2011-12-20 16:59:25
+0
會話ID已經是一個唯一的ID並在用戶的計算機上作爲cookie存儲。基本上php的會話完全按照你的建議進行,除了它不將它存儲在數據庫中,但是你可以編寫你自己的會話處理器類來存儲數據庫中的會話。 – 2011-12-20 16:59:54
+0
不完全是這樣,因爲會話可能被劫持,並且只要劫持者在他的電腦上沒有cookie,它就無法工作。但我以前的評論仍然存在。 – 2011-12-20 17:01:30
相關問題
- 1. 後臺檢查用戶是否登錄
- 2. 檢查用戶是否已登錄
- 3. 檢查用戶是否登錄
- 4. 檢查用戶是否登錄
- 5. 檢查用戶是否登錄
- 6. C# - 檢查用戶是否登錄Facebook
- 7. 檢查用戶是否已經登錄?
- 8. Active Directory檢查用戶是否登錄
- 9. 檢查用戶是否已登錄
- 10. 如何檢查用戶是否「登錄」?
- 11. 檢查用戶是否登錄Flattr?
- 12. 檢查用戶是否登錄
- 13. 檢查用戶是否登錄到Facebook
- 14. 檢查用戶是否已登錄,然後檢查用戶是否使用單選按鈕進行了登錄
- 15. Android Google登錄:請檢查用戶是否已登錄
- 16. 如何檢查用戶是否在Android登錄或登錄登錄
- 17. 如何檢查用戶是否使用Google帳戶登錄
- 18. Facebook,檢查用戶是否是粉絲並使用PHP登錄
- 19. 檢測用戶是否已登錄
- 20. 檢測用戶是否登錄到Facebook
- 21. Windows Universal - 如何檢查用戶是否登錄到Microsoft帳戶?
- 22. 檢查用戶登錄
- 23. Joomla用戶登錄檢查
- 24. angular2 - 檢查用戶登錄
- 25. 笨用戶登錄檢查
- 26. jsf檢查用戶登錄
- 27. 如何檢查用戶是否使用「Google登錄」登錄(OAuth 2.0)
- 28. 使用before_filter檢查管理員或用戶是否登錄
- 29. Symfony2 - 攔截登錄以檢查用戶是否已啓用
- 30. 檢查用戶是否在Google+之前登錄應用程序?
只需在會話中存儲他們的用戶ID就足夠了。 $ _SESSION ['uid']然後檢查是否(!empty($ _ SESSION ['uid])更多涉及的方法是將整個用戶對象存儲在會話中,對象必須是可序列化的 – 2011-12-20 16:09:12
@DmitriSnytkine,我可以取該會話ID,在另一臺計算機上使用它來代替密碼,這聽起來不太安全,另外,如果你想要許多網站實現的「記住我」功能,就應該考慮使用Cookie(例如,請參閱[保留我的簽名In](https://login.yahoo.com/config/login_verify)on Yahoo。) – FakeRainBrigand 2011-12-20 16:13:03
@FakeRainBrigand在共享主機中,一個好的做法是將您的會話(和其他敏感數據)存儲在您的數據庫中。 – macjohn 2011-12-20 16:20:19