0

当用户注册帐户时,会创建一个包含列的表;用户 ID 和令牌。这是因为如果用户在不同的计算机上登录时检查记住我,每台计算机都有不同的令牌。

注册.php

//user specific table created    
$create = $connectdb->prepare("CREATE TABLE `user-:username` (userid INT, token varchar(200)");
                        $executequery = $create->execute(array("username"=>$username));

这是 login.php 的片段;我创建令牌,将令牌存储在 cookie 中并将令牌插入到该用户特定的表中

  if($remember==1) {
                            $token = md5(uniqid('',true));
                            setcookie('token',$token,time()+60*60*24*365);

                            $rememberquery = $connectdb->prepare("INSERT INTO `user-:username` VALUES ('',:username,:token)");
                            $rememberquery->execute(array(":username"=>$username,":token"=>$token));
$_SESSION['username'][0] = $username;       
$_SESSION['username'][1] = $userid;                 
                            }

现在我被卡住了(假设我已经正确地完成了前面的操作)。何时/如何检查 cookie 令牌到数据库令牌?

4

1 回答 1

4

正确的身份验证很难正确进行,因此您必须不时扮演一个小黑客才能使事情基本正确。首先,您应该阅读会话管理备忘单和 owasp 页面。

在本次讲座之后,您应该了解会话管理的注意事项。但是,如果您需要记住我的备忘单;)它应该是这样的:

  • 值应该是完全随机的,或者密码学强(这可能很棘手)
  • 应在接收时进行验证
  • 永远不要相信你从 cookie 中得到的东西,所以如果没有适当的验证,将用户名存储在 cookie 中是一个非常非常非常糟糕的主意
  • 如果会话过期创建一个新的,用你的表中的数据填充它,瞧,
  • 如果您需要保留某些内容,请使用数据库而不是 cookie cookie 不好且不值得信赖;)

微软的Threats and countermeasures也是一个很好的出版物,它可以帮助你很多。

于 2012-07-19T19:37:53.007 回答