0

有什么理由这是不好的形式吗?页面上唯一的用户输入数据是

// Set username and password from cookies
    $username = mysql_real_escape_string($_COOKIE["username"]);
    $password = mysql_real_escape_string($_COOKIE['password']);

我对消毒的想法真的很陌生。有什么理由这是一种糟糕的做事方式吗?

4

1 回答 1

1

永远不要将用户的数据存储在 cookie 中!

这是我的建议:

  • 将用户 ID 存储在 cookie 中
  • 生成特殊令牌和哈希+盐并将它们存储在 cookie 中
  • 将所有内容存储在数据库中
  • 在每次页面加载时从 cookie 中获取数据并尝试在数据库中搜索它们
  • 如果找不到,则注销用户
  • 在每次页面加载时更改令牌
于 2012-07-02T21:05:50.350 回答