我有一個方法,我檢查用戶名和密碼(哈希+鹽)是正確的。之後,如果用戶已經進行了我的操作:餅乾系統 - 安全
if(isset($remember) && $remember == '1') {
setcookie('email', $email, time()+60*60*24*100);
}
else {
setcookie('email', $email, time()+3600);
}
我的問題是關於安全問題。上面的代碼是不安全的?它需要像簽名一樣的東西?
例如:
$user_email = $email;
$hash = sha1(rand(0,500).microtime());
$signature = sha1($hash . $user_email);
$cookie = base64_encode($signature . "-" . $hash . "-" . $user_email);
setcookie('authentication', $cookie);
你覺得呢?
如何檢查是否有人登錄? – ComFreek
好吧,我只檢查cookie是定義(isset)還是空的 – anvd
哦,這是非常不安全的,因爲在瀏覽器中手動設置cookie非常簡單! – ComFreek