搜索

首页  >  问答  >  正文

mysql - PHP是否登录,单纯使用session,是否足够可靠

目前我做的项目登录只是判断用户session是否存在,若有则登录,若没有则未登录

这种简单粗暴的办法,是不是安全,安全程度高低呢?

不知道目前成熟一点,并且设计相对简单的登录验证是什么思路,麻烦大神指点

给我你的怀抱给我你的怀抱2770 天前1118

全部回复(4)我来回复

  • 我想大声告诉你

    我想大声告诉你2017-05-31 10:36:03

    登陆状态最简单的就是session,而且是非常安全的
    和session一起的还有Cookie 相对来说 没session安全 但是设置好也没什么安全问题的

    回复
    0
  • 我想大声告诉你

    我想大声告诉你2017-05-31 10:36:03

    个人认为使用$_SESSION来判断用户是否登录的方法不可靠.
    比如,一个用户修改密码后,程序如何实现旧的登录都失效?
    所以还是建议使用cookie来验证用户身份.
    cookie里存用户的ID和salt.
    用户注册成功时,或修改密码时,重新生成salt并更新用户表.

    回复
    0
  • 曾经蜡笔没有小新

    曾经蜡笔没有小新2017-05-31 10:36:03

    session 比较简单,但不够可靠;需要更加可靠的话,可以参考 微信 / QQ ,更可靠的参考网银登录。

    回复
    0
  • 曾经蜡笔没有小新

    曾经蜡笔没有小新2017-05-31 10:36:03

    session是否存在

    这个不可靠,因为session是存在cookie内的,是存在客户端的内容,原则上服务器应该不信任任何来自客户端的信息,需要进行 validate。至于什么样的验证逻辑,请自行设计(仅判断“有” “无”,显然是不够的)

    回复
    0
  • 取消回复