Heim > Backend-Entwicklung > PHP-Tutorial > So bleiben Sie in PHP angemeldet. Lassen Sie uns ausführlich über die Sicherheit sprechen.

So bleiben Sie in PHP angemeldet. Lassen Sie uns ausführlich über die Sicherheit sprechen.

WBOY
Freigeben: 2016-08-18 09:16:11
Original
1301 Leute haben es durchsucht

Meine Website verwendet jetzt Sitzungen, aber der Anmeldestatus verschwindet, sobald der Browser geschlossen wird, was sehr unpraktisch ist.
So verwenden Sie die Funktion [Angemeldet bleiben] und wie Sie Cookies am besten nutzen Ich sage Ihnen, es gibt keine spezielle Lösung online. Ich hoffe, jemand mit Entwicklungserfahrung kann mir eine Anleitung geben

Antwortinhalt:

Meine Website verwendet jetzt Sitzungen, aber der Anmeldestatus verschwindet, sobald der Browser geschlossen wird, was sehr unpraktisch ist.
So verwenden Sie die Funktion [Angemeldet bleiben] und wie Sie Cookies am besten nutzen Ich sage Ihnen, es gibt keine spezielle Lösung online. Ich hoffe, jemand mit Entwicklungserfahrung kann mir eine Anleitung geben

Es ist zu beachten, dass auch PHP-Sitzungen mithilfe von Cookies implementiert werden. Der im Browser gespeicherte Cookie-Name lautet standardmäßig PHPSESSID.
Die Ablaufzeit dieses Sitzungscookies kann ebenfalls festgelegt werden bis 3600 Sekunden:
session_set_cookie_params(3600);
Nachdem Sie den Browser geschlossen und innerhalb einer Stunde erneut geöffnet haben, ist das Cookie weiterhin gültig.

PHP-Sitzung ist eine Datei, die standardmäßig Sitzungsdaten speichert, die jeder PHPSESSID entsprechen.
Das heißt, die Sitzungsdaten verschiedener PHPSESSIDs werden nicht gemeinsam genutzt.
Sie verwenden beispielsweise eine PHP-Sitzung, um eine zu implementieren Warenkorb- oder Videoanzeige Für die Aufzeichnungsfunktion:
Wenn Sie die Warenkorbdaten in der Sitzungsdatei speichern, können Sie Ihre Warenkorbdaten nach der Anmeldung von anderen Geräten oder Browsern nicht sehen.
Dabei Gleichzeitig sollten Sie die Warenkorbdaten speichern. Die Daten werden in der Datenbank gespeichert.

Lassen Sie uns darüber sprechen, wie Sie einen benutzerdefinierten Cookie-Sitzungsmechanismus basierend auf der Datenbank implementieren:

Das Cookie speichert die Benutzer-ID (Klartext) und den Salt-Wert (Hash) des Benutzers.
Wenn hohe Sicherheit erforderlich ist, können Sie auch MCRYPT_BLOWFISH verwenden, um den gesamten Cookie-Inhalt zu verschlüsseln.
Dieses Cookie erfordert beides Es muss in der Lage sein, Benutzer zu authentifizieren, darf aber nicht gefälscht werden. Der Salt-Wert des Benutzers wird zufällig generiert und bestimmt, um das Passwort zu schützen, wenn sich der Benutzer registriert, und wird in den Felddaten gespeichert, die dem Benutzer in der Benutzertabelle entsprechen 🎜>

Der Salt des Benutzers, der globale Salt der Anwendung und der MCRYPT_BLOWFISH-Verschlüsselungsschlüssel $key werden alle zufällig generiert und bestimmt.
<code>//保护用户密码的盐
$salt = sha1( uniqid(getmypid().'_'.mt_rand().'_', true) );

//用户的密码($pwd_user是用户输入的密码明文)
$pwd_db = sha1($salt.sha1($pwd_user));

//cookie里的盐
//其中$global_salt是配置里定义的全局盐,用来保护用户的盐,一旦修改,所有用户的cookie都将失效.
$cookie_salt = sha1($global_salt.sha1($salt));

//最终生成的cookie内容
$cookie = base64_encode($user_id.'|'.$cookie_salt);
//如果你需要高安全性,还可以使用MCRYPT_BLOWFISH对整个cookie的内容做一次加密.
$cookie = mcrypt_blowfish($cookie, $key);

//设置cookie,这里把过期时间设为3600秒(1小时)
setcookie($cookie_name, $cookie, time()+3600);</code>
Nach dem Login kopieren
Der Algorithmus wie:



erzeugt eine Zufallszahl der Prozess-ID ist ein Hashwert basierend auf der Entropie der aktuellen Zeit in Mikrosekunden.sha1( uniqid(getmypid().'_'.mt_rand().'_', true) )
Wenn Sie den Benutzer verifizieren, verwenden Sie zuerst den privaten Schlüssel, um $_COOKIE['cookie_name'] zu entschlüsseln,

dann base64_decode, um die Benutzer-ID zu erhalten,

und fragen Sie dann den Salt des Benutzers basierend auf der Benutzer-ID ab,
und dann den Salt einfügen. Nachdem derselbe Hash-Algorithmus mit dem Salt $cookie_salt im Cookie verglichen wurde,
wird festgestellt, dass das Cookie des Benutzers gültig ist, wenn sie konsistent sind

<code>//解密cookie
$cookie = mdecrypt_blowfish($_COOKIE['cookie_name'], $key);

//分割后拿到里面的$user_id和$cookie_salt
$cookie = explode('|', base64_decode($_COOKIE['cookie_name']));</code>
Nach dem Login kopieren

    Legen Sie die Gültigkeitsdauer des Cookies fest, indem Sie beispielsweise eine Woche zur aktuellen Zeit hinzufügen, sodass es in einem Monat abläuft, auch wenn Sie den Browser schließen
  1. Der Cookie-Inhalt kann für die Benutzer-ID symmetrisch verschlüsselt werden. Das Backend erhält zuerst den Chiffretext, entschlüsselt ihn dann und meldet sich schließlich an
Nur ​​Betriebscookies können das Problem des Sitzungsablaufs nicht lösen. Es wird empfohlen,

zu verwenden (es ist tatsächlich ein Suchtmittel) und die Sitzung zu starten. Sie können die Ablaufzeit nach Ihren Wünschen festlegen Wenn Sie online sind, gehen Sie direkt zum Cache, um zu überprüfen. ;

Es scheint, dass 缓存 das Sitzungsspeichermedium festlegen kann.

Verwandte Etiketten:
php
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage