我正在用戶帳號首次構建網站。我正在使用戶登錄安全的過程中。在註冊時,我在保存密碼之前對密碼進行哈希處理,然後在登錄時如果密碼正確,我使用setCookie將用戶信息保存到cookie中。將隨機值作爲會話「密鑰」存儲在表中是否安全?
現在劫持一個賬戶就像修改cookie值一樣簡單。我想讓網站安全,但我正在閱讀的大多數選項似乎太複雜了,我想用自己能做的事情。我已經閱讀了一些教程,並對如何做到這一點有一個基本的想法,但不知道它有多安全。
我的想法是做一個表,會話和存儲用戶ID +隨機值,保存一個cookie既和檢查每一個頁面加載對陣表兩個值和更新他們,如果他們是正確的。這似乎很簡單,即使用戶從不同的地方登錄,但仍然可以工作,但我不知道它有多安全。 Cookie將可見,但我沒有看到任何劫持會話的方式,除非有人偷走了cookie並在更新之前使用它。
這種產品是否安全?我可以使用其他什麼簡單的方法?
如果有人偷了_that訪問kind_給你數據庫然後你擰任何一種方式。只需將cookie存儲在數據庫中,並確保數據庫安全。 – noel
@pst,真的嗎?它似乎違反了「一次使用的數字*」的定義。 –
@ElYobo我最初把「續約他們,如果他們是正確的」爲價值的再生。 – 2012-10-23 04:13:38