【判断用户登录】PHP这样判断流程是否正确？每次都查询数据库存COOKIE-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

【判断用户登录】PHP这样判断流程是否正确？每次都查询数据库存COOKIE

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 01:55 PM

cookiephp판단데이터 베이스옳은

我自己来做的PHP判断用户是否登录：

【流程】
1 先判断有没有cookie('uid') && cookie('uid') 如果没有跳出循环检测
2 如果有，连接数据库查询该uid对应的记录，如果没有改记录则跳出循环检测并且注销所有用户cookie
3 如果有，检测cookie('upwd')== md5($rs[pwd].cookie('salt'))，如果不相等，提示密码发生修改需要重新登录
4 如果相等，检测cookie('email') == md5($rs[email])，如果不相等，提示邮箱发生更改，需要重新登录
5 如果相等 => 正确，该用户是当前登录用户。

但是！
【问题】
1 每次都要连接数据库，减少数据库查询是用户优化的关键，如果每次都去数据库查询，真的会影响性能。
2 如何优化才最好，这个登录判断流程是否有误。

【另外一种思路】
1 存放到SESSION，保存$uid,$uname,$lastactive（最后响应时间）到session中。
2 如果有session('uid') && session('uname') 检测time()-$lastactive > 3600 ，那么连接数据库查询（如上面的cookie判断），否则直接用（session存放位置php.ini默认配置的位置）

【问题】
1 如果存放到SESSION中，那么高并发的情况下，是否会受影响？

回复讨论(解决方案)

当采用第二种方案时你顾虑高并发的情况
那么采用第一种方案就可不考虑高并发的情况了吗？

在你的第一方案中，用户的口令和Email都放在cookie中，这些数据总是在网络中跑来跑去，你认为很安全吗？

数据库应该是广义的
虽然基于文件系统的关系型数据库（SQL）速度可能稍有逊色，但他们都提供有基于内存的内存表
何况数据库还有另一分支：基于内存的noSQL
所以数据库查询带来的额外开销是可以忽略不计的

判断用户是否登录的流程是：
如果 cookie('uid') 不存在转要求登录处理
否则查询数据库，检查该 uid 上次登录地点是否与本次相同：
相同则确认
不同则发出提示，有条件转要求登录处理

那每次都要查询MYSQL数据库了。根据登录地址，一般来说是IP了。

检查用户来源，是为了防止 CSRF攻击
一般只在用写动作的页面进行

我的做法是这样的。
1.用户login，连接数据库判断是否成功，如成功后把用户id，用户name等需要用到判断的信息，写入session和cookies，cookies设置一个时间（例如1天~2周，这个登入时给用户自己选择），另外，我是把存入cookies的数据做一个json_encode，然后加密处理。
例如 {"uid":1,"username":"fdipzone"} 加密成可逆的字符串。

2.当用户访问时，会有以下几种情况
1.判断session是否存在->是->通过
2.判断session是否存在->否->判断cookies是否存在->是->判断cookies解密是否成功->是->把cookies写入session->通过
3.判断session是否存在->否->判断cookies是否存在->是->判断cookies解密是否成功->否->跳转到login页面
4.判断session是否存在->否->判断cookies是否存在->否->跳转到login页面

你的流程貌似没有查询过数据库，很节约，但是存在漏洞问题：
1 假如账号在11点正常登录，12点账号被盗，密码被修改。可他还可以继续使用账号，和那个盗号者一起共同使用
2 假设用户密码已经发生修改，可他没有退出重新登录却可以继续使用该账号
3 更关键的不可控，假设用户在11点登陆，12点管理员封禁其账号，可他却还是可以继续使用，除非他退出重新登录一次。

我判断closeuser的部分在login之后进行。因为如果前面的步骤都不成功，就不需要调用closeuser判断了。

对了，有个位置漏说了，当session过期，然后把cookies写入session时。我会把这次操作的时间记录入db，作为用户的最后在线时间的。当判断上一次的最后在线时间比现在的超过10分钟，我会check一次closeuser的表，判断是否被屏蔽。如果被屏蔽，就跳到对应的信息提示页面。就是每10分钟会检查一次db吧。
判断session是否存在->否->判断cookies是否存在->是->判断cookies解密是否成功->是-> 把cookies写入session->通过

然后，每10分钟，检查一次

更正一下。
当session过期，把cookies写入session时。在这个位置会连数据库判断用户是否被禁止登入。
session有自己的过期时间，所以，每次连数据库检查的时间间隔就是session的生命周期。

判断session是否存在->否->判断cookies是否存在->是->判断cookies解密是否成功->是-> 检查是否禁止登入->否->把cookies写入session->通过

判断session是否存在->否->判断cookies是否存在->是->判断cookies解密是否成功->是-> 检查是否禁止登入->是->清除用户cookies->跳转到通知页面

如果是这样，貌似不用再SESSION了吧。
不过关闭浏览器就session过期真的不可思议啊。。。

如果是这样，貌似不用再SESSION了吧。
不过关闭浏览器就session过期真的不可思议啊。。。

session是会话进程，关闭会话消失很正常。
session其实也是cookie，只不过存活时间比较短，但是相较于cookie直接使用更安全，客户端只保存一个sessionid的cookie值，其他内容保存在服务器上，用户浏览时通过sessionid读取session的内容。

类似html5的 localStorage 和 sessionStorage

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP의 초록 클래스 또는 인터페이스에 대한 특성과 언제 특성을 사용 하시겠습니까?Apr 10, 2025 am 09:39 AM

PHP에서, 특성은 방법 재사용이 필요하지만 상속에 적합하지 않은 상황에 적합합니다. 1) 특성은 클래스에서 다중 상속의 복잡성을 피할 수 있도록 수많은 방법을 허용합니다. 2) 특성을 사용할 때는 대안과 키워드를 통해 해결할 수있는 방법 충돌에주의를 기울여야합니다. 3) 성능을 최적화하고 코드 유지 보수성을 향상시키기 위해 특성을 과도하게 사용해야하며 단일 책임을 유지해야합니다.

DIC (Dependency Injection Container) 란 무엇이며 PHP에서 사용하는 이유는 무엇입니까?Apr 10, 2025 am 09:38 AM

의존성 주입 컨테이너 (DIC)는 PHP 프로젝트에 사용하기위한 객체 종속성을 관리하고 제공하는 도구입니다. DIC의 주요 이점에는 다음이 포함됩니다. 1. 디커플링, 구성 요소 독립적 인 코드는 유지 관리 및 테스트가 쉽습니다. 2. 유연성, 의존성을 교체 또는 수정하기 쉽습니다. 3. 테스트 가능성, 단위 테스트를 위해 모의 객체를 주입하기에 편리합니다.

SPL SplfixedArray 및 일반 PHP 어레이에 비해 성능 특성을 설명하십시오.Apr 10, 2025 am 09:37 AM

SplfixedArray는 PHP의 고정 크기 배열로, 고성능 및 메모리 사용이 필요한 시나리오에 적합합니다. 1) 동적 조정으로 인한 오버 헤드를 피하기 위해 생성 할 때 크기를 지정해야합니다. 2) C 언어 배열을 기반으로 메모리 및 빠른 액세스 속도를 직접 작동합니다. 3) 대규모 데이터 처리 및 메모리에 민감한 환경에 적합하지만 크기가 고정되어 있으므로주의해서 사용해야합니다.

PHP는 파일 업로드를 어떻게 단단히 처리합니까?Apr 10, 2025 am 09:37 AM

PHP는 $ \ _ 파일 변수를 통해 파일 업로드를 처리합니다. 보안을 보장하는 방법에는 다음이 포함됩니다. 1. 오류 확인 확인, 2. 파일 유형 및 크기 확인, 3 파일 덮어 쓰기 방지, 4. 파일을 영구 저장소 위치로 이동하십시오.

Null Coalescing 연산자 (??) 및 Null Coalescing 할당 연산자 (?? =)은 무엇입니까?Apr 10, 2025 am 09:33 AM

JavaScript에서는 NullCoalescingOperator (??) 및 NullCoalescingAssignmentOperator (?? =)를 사용할 수 있습니다. 1. 2. ??= 변수를 오른쪽 피연산자의 값에 할당하지만 변수가 무효 또는 정의되지 않은 경우에만. 이 연산자는 코드 로직을 단순화하고 가독성과 성능을 향상시킵니다.

CSP (Content Security Policy) 헤더 란 무엇이며 왜 중요한가요?Apr 09, 2025 am 12:10 AM

CSP는 XSS 공격을 방지하고 리소스로드를 제한하여 웹 사이트 보안을 향상시킬 수 있기 때문에 중요합니다. 1.CSP는 HTTP 응답 헤더의 일부이며 엄격한 정책을 통해 악의적 인 행동을 제한합니다. 2. 기본 사용법은 동일한 원점에서 자원을로드 할 수있는 것입니다. 3. 고급 사용량은 특정 도메인 이름을 스크립트와 스타일로드 할 수 있도록하는 것과 같은보다 세밀한 전략을 설정할 수 있습니다. 4. Content-Security Policy 보고서 전용 헤더를 사용하여 CSP 정책을 디버그하고 최적화하십시오.

HTTP 요청 방법 (Get, Post, Put, Delete 등)이란 무엇이며 언제 각각을 사용해야합니까?Apr 09, 2025 am 12:09 AM

HTTP 요청 방법에는 각각 리소스를 확보, 제출, 업데이트 및 삭제하는 데 사용되는 Get, Post, Put and Delete가 포함됩니다. 1. GET 방법은 리소스를 얻는 데 사용되며 읽기 작업에 적합합니다. 2. 게시물은 데이터를 제출하는 데 사용되며 종종 새로운 리소스를 만드는 데 사용됩니다. 3. PUT 방법은 리소스를 업데이트하는 데 사용되며 완전한 업데이트에 적합합니다. 4. 삭제 방법은 자원을 삭제하는 데 사용되며 삭제 작업에 적합합니다.

HTTPS 란 무엇이며 웹 애플리케이션에 중요한 이유는 무엇입니까?Apr 09, 2025 am 12:08 AM

HTTPS는 HTTP를 기반으로 보안 계층을 추가하는 프로토콜로, 주로 암호화 된 데이터를 통해 사용자 개인 정보 및 데이터 보안을 보호합니다. 작업 원칙에는 TLS 핸드 셰이크, 인증서 확인 및 암호화 된 커뮤니케이션이 포함됩니다. HTTP를 구현할 때는 인증서 관리, 성능 영향 및 혼합 콘텐츠 문제에주의를 기울여야합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

Atom Editor Mac 버전 다운로드

가장 인기 있는 오픈 소스 편집기

Eclipse용 SAP NetWeaver 서버 어댑터

Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.