mysql - PHP是否登录,单纯使用session,是否足够可靠
给我你的怀抱
给我你的怀抱 2017-05-31 10:34:03
0
4
1091

目前我做的项目登录只是判断用户session是否存在,若有则登录,若没有则未登录

这种简单粗暴的办法,是不是安全,安全程度高低呢?

不知道目前成熟一点,并且设计相对简单的登录验证是什么思路,麻烦大神指点

给我你的怀抱
给我你的怀抱

全部回复(4)
我想大声告诉你

登陆状态最简单的就是session,而且是非常安全的
和session一起的还有Cookie 相对来说 没session安全 但是设置好也没什么安全问题的

我想大声告诉你

个人认为使用$_SESSION来判断用户是否登录的方法不可靠.
比如,一个用户修改密码后,程序如何实现旧的登录都失效?
所以还是建议使用cookie来验证用户身份.
cookie里存用户的ID和salt.
用户注册成功时,或修改密码时,重新生成salt并更新用户表.

曾经蜡笔没有小新

session 比较简单,但不够可靠;需要更加可靠的话,可以参考 微信 / QQ ,更可靠的参考网银登录。

曾经蜡笔没有小新

session是否存在

这个不可靠,因为session是存在cookie内的,是存在客户端的内容,原则上服务器应该不信任任何来自客户端的信息,需要进行 validate。至于什么样的验证逻辑,请自行设计(仅判断“有” “无”,显然是不够的)

热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板