ホームページ  >  記事  >  バックエンド開発  >  ユーザーがPHPにログインしているかどうかを安全に判断する方法

ユーザーがPHPにログインしているかどうかを安全に判断する方法

WBOY
WBOYオリジナル
2016-06-13 13:18:27904ブラウズ

php でユーザーがログインしているかどうかを安全に判断する方法

以前は、セッションにユーザー名を入力し、権限が必要な場所を使用してユーザー名が存在するかどうかを判断するだけでした

しかし、ハッカーがセッション ID を取得し、サーバーへの送信を偽造した場合はどうすればよいでしょうか?

ユーザーがログインしているかどうかを安全に確認する方法を教えてください。セッションを mysql に配置する必要がありますか?

-----解決策---------
ユーザーのログイン IP アドレスまたはログイン場所をセッション内で保持することもできます。
IP アドレスが変更される限り、SESSION ID は無効になります。
------解決策---------
https により、クリア テキストのアカウント パスワードとセッション Cookie がアクセスされないようになります。盗用されている。

Cookie がコンピュータから直接盗まれることに関しては、何もすることができません。

さらに、ログイン時にデータベースをチェックしてユーザーの権限を決定し、SESSION に記録する必要があります。SESSION は維持されるため、今後はデータベースをチェックして権限を確認する必要はありません。サーバー上に保存されており安全・確実ですが、COOKIEは持ち出される可能性があります。
------解決策---------
セッション検査。 sslの使用を強制します。
------解決策----------------------
Cookie が他人によって制御されている場合、それは次のことを意味します。誰かが相手のコンピュータを制御している場合、トロイの木馬がそのパスワードなどを盗聴することは非常に簡単です。だから心配しないでください...


------解決策---------

話し合う

セッション中のユーザーのログイン IP アドレスまたはログイン場所を保持できます。
IP アドレスが変更される限り、SESSION ID は無効になります。
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。