Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/html/79.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
PHP cookies与成员安全_Php_Html_Security_Cookies - Fatal编程技术网
Fatal编程技术网
  • php/
  • PHP cookies与成员安全

PHP cookies与成员安全

php html security cookies

PHP cookies与成员安全,php,html,security,cookies,Php,Html,Security,Cookies,我已经创建了一个论坛,它在登录时使用PHP会话来确定用户id,并使用cookies进行登录 我想我有两个问题: 这是最好/最安全的方法吗 可以使用javascript通过地址栏手动添加cookie,这是一个巨大的安全风险。这有什么办法吗 谢谢 首先,确保您使用的是https而不是http。这将防止您的流量被嗅探和利用 其次,生成一个尽可能随机的值,用作cookie中的令牌。这是有多少大网站做他们的用户跟踪。在服务器端具有跟踪身份的令牌到用户的映射。记住:来自客户端的任何内容都是不可信的,都可能被

我已经创建了一个论坛,它在登录时使用PHP会话来确定用户id,并使用cookies进行登录

我想我有两个问题:

  • 这是最好/最安全的方法吗
  • 可以使用javascript通过地址栏手动添加cookie,这是一个巨大的安全风险。这有什么办法吗
    • 谢谢

    首先,确保您使用的是https而不是http。这将防止您的流量被嗅探和利用

    其次,生成一个尽可能随机的值,用作cookie中的令牌。这是有多少大网站做他们的用户跟踪。在服务器端具有跟踪身份的令牌到用户的映射。记住:来自客户端的任何内容都是不可信的,都可能被篡改

    第三,使用密码使篡改变得更加困难。您不希望用户能够暴力使用其他令牌

    编辑:

    在构建此系统时,您可能会发现这些其他SO问题/答案很有帮助:

  • 关于创建和使用令牌的详细信息(不一定必须是REST服务才能适用):

  • 创建好的令牌(不要使用微时间):

    • 杰出的谢谢。这正是我想要的还可以在登录会话中发送IP,以便您可以检查服务器端会话是否被盗。不客气!我刚刚添加了几个对您有用的其他问题的链接。@S.Visser因此,如果我将笔记本电脑从家搬到办公室,我必须再次登录?@Freedom\u Ben:谢谢!这让我意识到我对网站安全的疏忽。你想在cookies中存储什么?