目前我做的项目登录只是判断用户session是否存在,若有则登录,若没有则未登录
这种简单粗暴的办法,是不是安全,安全程度高低呢?
不知道目前成熟一点,并且设计相对简单的登录验证是什么思路,麻烦大神指点
我想大声告诉你2017-05-31 10:36:03
登陆状态最简单的就是session,而且是非常安全的
和session一起的还有Cookie 相对来说 没session安全 但是设置好也没什么安全问题的
我想大声告诉你2017-05-31 10:36:03
个人认为使用$_SESSION来判断用户是否登录的方法不可靠.
比如,一个用户修改密码后,程序如何实现旧的登录都失效?
所以还是建议使用cookie来验证用户身份.
cookie里存用户的ID和salt.
用户注册成功时,或修改密码时,重新生成salt并更新用户表.
曾经蜡笔没有小新2017-05-31 10:36:03
session是否存在
这个不可靠,因为session是存在cookie内的,是存在客户端的内容,原则上服务器应该不信任任何来自客户端的信息,需要进行 validate。至于什么样的验证逻辑,请自行设计(仅判断“有” “无”,显然是不够的)