搜尋

首頁  >  問答  >  主體

mysql - PHP是否登錄,單純使用session,是否夠可靠

目前我做的專案登入只是判斷用戶session是否存在,若有則登錄,若沒有則未登入

這種簡單粗暴的辦法,是不是安全,安全程度高低呢?

不知道目前成熟一點,並且設計相對簡單的登入驗證是什麼思路,麻煩大神指點

给我你的怀抱给我你的怀抱2770 天前1117

全部回覆(4)我來回復

  • 我想大声告诉你

    我想大声告诉你2017-05-31 10:36:03

    登陸狀態最簡單的就是session,而且是非常安全的
    和session一起的還有Cookie 相對來說 沒session安全 但是設定好也沒什麼安全問題的

    回覆
    0
  • 我想大声告诉你

    我想大声告诉你2017-05-31 10:36:03

    個人認為使用$_SESSION來判斷使用者是否登入的方法不可靠.
    比如,一個使用者修改密碼後,程式如何實現舊的登入都失效?
    所以還是建議使用cookie來驗證使用者身分.
    cookie裡儲存用戶的ID和salt.
    用戶註冊成功時,或修改密碼時,重新產生salt並更新用戶表.

    回覆
    0
  • 曾经蜡笔没有小新

    曾经蜡笔没有小新2017-05-31 10:36:03

    session 比較簡單,但不夠可靠;需要更可靠的話,可以參考 微信 / QQ ,更可靠的參考網銀登入。

    回覆
    0
  • 曾经蜡笔没有小新

    曾经蜡笔没有小新2017-05-31 10:36:03

    session是否存在

    這個不可靠,因為session是存在cookie內的,是存在客戶端的內容,原則上伺服器應該不信任任何來自客戶端的信息,需要進行 validate。至於什麼樣的驗證邏輯,請自行設計(僅判斷“有” “無”,顯然是不夠的)

    回覆
    0
  • 取消回覆