0
因此,我剛剛在我正在開發的開發項目上創建一個登錄腳本時發現了一個BIG「No-No」。
在設置cookie,user_ID和加密密碼時,我注意到在Google Chrome(或Mozilla Firefox的簡單擴展)上,我可以將用戶ID cookie編輯爲另一個用戶的用戶ID,並訪問該網站就像我是他們。
有沒有人有任何指示我需要採取什麼路線,所以這不會發生?請讓我知道是否需要更多信息。
A
回答
0
如果您需要保持人員登錄時間超過瀏覽器會話時間,則應將用戶數據等內容存儲在數據庫中,然後創建一個與數據庫行ID匹配的cookie。只是FYI不使用自動遞增ID
1
如果您不打算在服務器上驗證它,爲什麼要存儲加密的密碼?如果用戶發送用戶標識但密碼不匹配,則不應允許他們訪問該網站。
在任何情況下,您都應該使用$_SESSION變量來保存登錄信息等信息。這樣用戶只能看到會話ID。雖然理論上可以猜測其他人的會話ID(或竊取它 - 會話劫持),但您可以添加其他圖層,例如要求用戶代理和IP地址保持不變 - 這取決於需要多少安全性。
+0
我明白。因此,最佳做法是在收集動態內容的用戶信息時僅使用SESSION Cookie。 –
+0
我的腳本確實記錄了不正確的密碼,我只是不確定如何爲「僅限會員」網站存儲他們的憑據。 –
相關問題
- 1. $ _COOKIE不可用
- 2. PHP $ _COOKIE isset
- 3. PHP $ _COOKIE問題
- 4. %2B通過$ _COOKIE
- 5. onclick與_ _COOKIE
- 6. $ _SESSION v。$ _COOKIE
- 7. 刪除$ _COOKIE陣列
- 8. $ _COOKIE不會改變
- 9. 使用PHP curl發送存儲在$ _COOKIE全局中的cookie
- 10. 是什麼_ ENV,$ _SESSION和$ _COOKIE
- 11. $ _COOKIE不適用於Safari iOS
- 12. 通過$ _COOKIE獲取posts_per_page
- 13. $ _COOKIE ['cookiefoo'],嘗試獲取cookie
- 14. 我的安全再次安全有多安全?
- 15. 春季安全,方法安全,URL安全
- 16. 安全
- 17. 安全
- 18. 安全
- 19. 安全
- 20. 安全++
- 21. 安全
- 22. 混合安全和非安全頁面
- 23. 是websockets安全還是不安全?
- 24. 不安全和安全的HTTP
- 25. 安全註釋 - 不能安全
- 26. 混合安全和不安全通道
- 27. CakePHP:使用安全:: allowedControllers和安全:: allowedActions
- 28. 安全:http在spring安全配置?
- 29. Spring安全方法安全註釋
- 30. 安全REST與春季安全
您不應該在Cookie中存儲敏感信息。您應該將用戶的數據存儲在[sessions](http://php.net/manual/en/book.session.php)中。 – Supericy
如果包含一段用戶信息的cookie未被存儲,內容仍然是動態的(每個用戶)? –
備忘單:https://www.owasp.org/index.php/Session_Management_Cheat_Sheet – ficuscr