2
我創建了一個論壇,它在登錄時使用PHP會話來確定用戶ID,以及用於登錄期限的cookie。PHP cookies和會員安全
我想我有兩個問題:
- 這是最好的/安全最方法是什麼?
- Cookie可以通過地址欄手動添加javascript,這是一個巨大的安全風險。有沒有辦法解決?
謝謝!
A
回答
3
首先,確保您使用的是https而不是http。這將保持您的流量不被嗅探和利用。其次,生成儘可能隨機的值作爲cookie中的標記。這是有多少大網站進行用戶跟蹤。在跟蹤身份的服務器端爲用戶提供令牌映射。請記住:來自客戶端的任何信息都是不可信的,可能會被篡改。
第三,使用HMAC使篡改更加困難。您不希望用戶能夠暴力破解其他令牌。
編輯:
有關創建和使用代幣(龍的細節不一定非得是REST:
爲您打造這套系統,你可能會發現這些其他SO問題/答案有幫助服務適用):REST Web Service authentication token implementation
創造良好的令牌(不要使用microtime中):Is using microtime() to generate password-reset tokens bad practice
+0
優秀!非常感謝。那正是我想要的。 :) – Tom
+1
也發送一個IP與登錄會話,所以你可以檢查服務器端,如果會話沒有被盜。 –
+0
不客氣!我只是添加了一些對其他問題的鏈接,這些問題對您有用。 –
相關問題
- 1. .NET會員和Cookies?
- 2. php會話和cookies
- 3. CakePHP cookies不安全,不安全
- 4. 最安全的cookies?
- 5. cookies的安全性
- 6. PHP會話和安全
- 7. PHP REMOTE_ADDR和安全會話
- 8. Javascript cookies和php cookies
- 9. ASP.net會員安全訪問
- 10. asp.net會員密碼安全
- 11. php會話安全
- 12. PHP會話安全
- 13. PHP - 會話 - 安全
- 14. 安全和php
- 15. 用於cookie和會話的php安全
- 16. PHP - 會話安全性和可靠性
- 17. PHP安全會話和用戶登錄
- 18. PHP/MySQL安全登錄和會話
- 19. PHP和Javascript cookies
- 20. PHP pam_auth和cookies
- 21. PHP和cookies
- 22. 使用Cookie的安全會員登錄
- 23. PHP:用戶登錄會話和cookies
- 24. 登錄系統(PHP)Cookies和會話
- 25. php cookies和會話變量表格
- 26. PHP會話,COOKIES和記住我功能
- 27. 會話cookies = cookies?
- 28. htaccess和會話/ cookies
- 29. 會話和Cookies asp.net
- 30. 保持PHP會話安全
你想在cookies中存儲什麼? – Arjan