目前我做的專案登入只是判斷用戶session是否存在,若有則登錄,若沒有則未登入
這種簡單粗暴的辦法,是不是安全,安全程度高低呢?
不知道目前成熟一點,並且設計相對簡單的登入驗證是什麼思路,麻煩大神指點
我想大声告诉你2017-05-31 10:36:03
登陸狀態最簡單的就是session,而且是非常安全的
和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的
我想大声告诉你2017-05-31 10:36:03
個人認為使用$_SESSION來判斷使用者是否登入的方法不可靠.
比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?
所以還是建議使用cookie來驗證使用者身分.
cookie裡儲存用戶的ID和salt.
用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.
曾经蜡笔没有小新2017-05-31 10:36:03
session是否存在
這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)