这种PHP会话身份验证方法是否足够安全?
使用这种方法是否足够安全这种PHP会话身份验证方法是否足够安全?,php,session,authentication,Php,Session,Authentication,使用这种方法是否足够安全 // validation.php if ($login == $r['username'] && $pass == $r['password']) { $_SESSION['user'] = $login; } 然后在每个秘密页面上: // protectedpage.php session_start(); if (!isset($_SESSION['user'])) { echo "Go be unlogged some
// validation.php
if ($login == $r['username'] && $pass == $r['password'])
{
$_SESSION['user'] = $login;
}
然后在每个秘密页面上:
// protectedpage.php
session_start();
if (!isset($_SESSION['user']))
{
echo "Go be unlogged somewhere else!<br>";
exit;
}
//protectedpage.php
会话_start();
如果(!isset($\u会话['user']))
{
echo“去别的地方解锁吧!
”;
出口
}
事实上,你正在做的是$pass==$r['password']
告诉我不是。我敢打赌你用纯文本存储密码,这很糟糕!!!!!至于会话检查,进行会话检查以确保用户登录没有问题;并比较密码的加密版本。可以吗?看看这个,这是一个存储加密/哈希密码的好方法。只有两种方法你会关心将创建散列
和验证密码
谢谢,请记住!