Cookie安全php
我对登录表单的“记住我”部分使用基本的cookie系统。代码如下:Cookie安全php,php,security,cookies,Php,Security,Cookies,我对登录表单的“记住我”部分使用基本的cookie系统。代码如下: if(isset($_POST['submit'])) { $username = $_POST['username']; $password = $_POST['password']; if($username&&$password) { $connect = mysql_connect('localhost','root',''); mysql_sel
if(isset($_POST['submit']))
{
$username = $_POST['username'];
$password = $_POST['password'];
if($username&&$password)
{
$connect = mysql_connect('localhost','root','');
mysql_select_db('phplogin');
$query = mysql_query("SELECT * FROM utilisateurs WHERE NomUtilisateur='$username' AND MotDePasse='$password'");
$rows = mysql_num_rows($query);
if($rows==1)
{
if($_POST['checkbox'])
{
setcookie('username',$username,time()+3600);
header('Location: membre.php');
}else{$_SESSION['username']=$username;header('Location:membre.php');}
}else echo "Something something error";
}else echo "Something something darkside";
}
我不确定是否需要保护饼干,如果需要,如何保护?我真正想做的就是不允许人们使用假cookie登录另一个用户帐户,或者在cookie中清除敏感信息。目前,任何人都可以自己登录,只要他知道用户的用户名。即使设置了cookie,您也需要有一个过程来识别用户,即他们是真正的客户。例如,当用户登录时,您可以保存cookie中保存的随机字母数字字符串,并针对该用户保存数据库,下一次,当您用数据库中的值交叉检查字符串并记住每X天后更改字母数字字符串时,这可防止攻击者复制某人的cookie并使用其登录。像这样的
$uniquekey = 'A234W';
$randomstring = sha1(strval(rand(0,microtime(true))+ $uniquekey + strval(microtime(true))));
setcookie( 'loginID', $randomstring, time()+60*60*24*7,'/', 'www.yoursite.com', false, true);
当读取cookie时,使用
mysql\u real\u escape\u stringmicrotime(true)'A234W'0