Php $\u COOKIE安全性_Php_Setcookie

Php $\u COOKIE安全性

php

Php $\u COOKIE安全性,php,setcookie,Php,Setcookie,因此，在我正在开发的一个开发项目上创建登录脚本时，我发现了一个很大的“No-No” 在设置cookie时，对于用户ID和加密密码，我注意到通过在Google Chrome（或Mozilla Firefox）上的简单扩展，我可以将用户ID cookie编辑为另一个用户的用户ID，并像访问他们一样访问网站有没有人能告诉我该走哪条路，这样就不会发生这种情况？如果需要更多信息，请告诉我。如果不在服务器上验证加密密码，为什么要存储它？如果用户发送的用户ID与密码不匹配，则不应允许他们访问该站点在任何情

因此，在我正在开发的一个开发项目上创建登录脚本时，我发现了一个很大的“No-No”

在设置cookie时，对于用户ID和加密密码，我注意到通过在Google Chrome（或Mozilla Firefox）上的简单扩展，我可以将用户ID cookie编辑为另一个用户的用户ID，并像访问他们一样访问网站

有没有人能告诉我该走哪条路，这样就不会发生这种情况？如果需要更多信息，请告诉我。

如果不在服务器上验证加密密码，为什么要存储它？如果用户发送的用户ID与密码不匹配，则不应允许他们访问该站点

在任何情况下，都应该使用

$\u SESSION

变量来保存登录详细信息等信息。通过这种方式，用户只能看到会话ID。而理论上，猜测其他人的会话ID（或窃取会话ID-会话劫持）是可能的您可以添加其他层，例如要求用户代理和IP地址保持不变—这取决于需要多少安全性。

如果您需要让用户登录的时间长于浏览器会话，则应将用户数据等存储在数据库中，然后创建一个与数据库行id匹配的cookie。仅供参考不要使用自动递增id

您不应该在cookie中存储敏感信息。您应该将用户的数据存储在中。如果没有存储包含用户信息的cookie，内容怎么可能仍然是动态的（基于每个用户）？备忘单：我理解。所以，最好的做法是在收集动态内容的用户信息时只使用会话cookie。我的脚本确实解释了错误的密码，我只是不知道如何为“仅会员”网站存储他们的凭据。