PHP登录会话和cookie
在我的PHP网站上,用户可以登录并有可能选中“记住我”来设置cookie 我应该将什么存储为PHP登录会话和cookie,php,session,cookies,Php,Session,Cookies,在我的PHP网站上,用户可以登录并有可能选中“记住我”来设置cookie 我应该将什么存储为会话变量?用户名、哈希密码和用户ID,还是仅用户ID?如果我只存储用户ID,是否有人可以编辑会话并更改ID 那么COOKIE呢?我应该只存储用户ID?据我所知,最终用户可以修改cookie…您应该将随机会话值存储在cookie中。您绝对不应该在cookie本身中存储关于用户的任何信息。然后,您可以在每次页面加载时检查cookie中的会话id,以确保(a)用户应有权访问该内容,以及(b)会话id有效 在PH
会话用户ID用户ID用户ID会话那么
COOKIE用户ID在PHP中,您可以使用
session\u set\u cookie\u paramssession\u name用户id用户名用户id$salt = substr (md5($password), 0, 2);
$cookie = base64_encode ("$username:" . md5 ($password, $salt));
setcookie ('my-secret-cookie', $cookie);
$cookie = $_COOKIE['my-secret-cookie'];
$content = base64_decode ($cookie);
list($username, $hashed_password) = explode (':', $hash);
// here you need to fetch real password from database based on username. ($password)
if (md5($password, substr(md5($password), 0, 2)) == $hashed_password) {
// you can consider use as logged in
// do whatever you want :)
}
我写的这篇文章涵盖了这个概念。希望有帮助。用户无法编辑会话变量,这些变量在服务器上管理 会话可变优势
1.)安全
2.)稳健 会话劣势 1.)生命周期短,直到会话存在 会话被破坏
当用户关闭浏览器时 服务器重启
使用session_destroy()销毁会话 所以会话更安全 另一方面,Cookie可以让您记住用户优先级 如果您将两者结合使用,那么它对您的代码是有利的
You can store userid and username in cookie, then verify user identity using its combination.
若它并没有退出,那个么你们可以登录用户并在会话中保存信息以及更新cookie 对于可能更喜欢使用cookie的用户(因此即使浏览器关闭,您也可以在很长时间后访问),这是一种在cookie中存储粗略ID的安全方法:
为了防止库攻击匹配该随机字符串,您还可以在检查失败或阻止该IP一段时间后强制注销。感谢您的澄清;您能否给出使用cookies重新登录用户的最佳实践?我不知道如何继续…检查更新!代码是动态编写的!因此,如果你看到打字错误或bug,我很抱歉,请尝试修复它或告诉我问题。谢谢,这似乎是一个很好的方法。你觉得这个怎么样?我觉得很好。但是它过时了吗?这并不是那么糟糕,但是考虑在那个解决方案中,你需要存储他在DB中提到的随机数。它比我的解决方案更强大,因为你可以创建真正好的随机数来避免暴力攻击。使用您的常识,选择您认为更适合您的程序上下文的内容。您正在使用md5隐藏密码。不管什么原因,都不要这样做。通常最好为“记住我”cookie创建一个完全随机的值,并将其存储为用户帐户的备用密码。这样,它甚至比通常的密码更随机,并且没有人可以使用该值对密码进行反向工程。