PHP cookies与成员安全
我已经创建了一个论坛,它在登录时使用PHP会话来确定用户id,并使用cookies进行登录 我想我有两个问题:PHP cookies与成员安全,php,html,security,cookies,Php,Html,Security,Cookies,我已经创建了一个论坛,它在登录时使用PHP会话来确定用户id,并使用cookies进行登录 我想我有两个问题: 这是最好/最安全的方法吗 可以使用javascript通过地址栏手动添加cookie,这是一个巨大的安全风险。这有什么办法吗 谢谢 首先,确保您使用的是https而不是http。这将防止您的流量被嗅探和利用 其次,生成一个尽可能随机的值,用作cookie中的令牌。这是有多少大网站做他们的用户跟踪。在服务器端具有跟踪身份的令牌到用户的映射。记住:来自客户端的任何内容都是不可信的,都可能被
谢谢 首先,确保您使用的是https而不是http。这将防止您的流量被嗅探和利用 其次,生成一个尽可能随机的值,用作cookie中的令牌。这是有多少大网站做他们的用户跟踪。在服务器端具有跟踪身份的令牌到用户的映射。记住:来自客户端的任何内容都是不可信的,都可能被篡改 第三,使用密码使篡改变得更加困难。您不希望用户能够暴力使用其他令牌 编辑: 在构建此系统时,您可能会发现这些其他SO问题/答案很有帮助:
杰出的谢谢。这正是我想要的还可以在登录会话中发送IP,以便您可以检查服务器端会话是否被盗。不客气!我刚刚添加了几个对您有用的其他问题的链接。@S.Visser因此,如果我将笔记本电脑从家搬到办公室,我必须再次登录?@Freedom\u Ben:谢谢!这让我意识到我对网站安全的疏忽。你想在cookies中存储什么?