3

我正在从 php-login.net 修改登录脚本并试图使其更安全。这个特定的登录脚本有一个登录类,它在用户登录时设置 cookie 和会话变量。

/**
 *  write user data into PHP SESSION [a file on your server]
 */
   $_SESSION['user_name'] = $result_row->user_name;
   $_SESSION['user_email'] = $result_row->user_email;
   $_SESSION['user_logged_in'] = 1;

/**
 *  write user data into COOKIE [a file in user's browser]
 */
   setcookie("user_name", $result_row->user_name, time() + (3600*24*100));
   setcookie("user_email", $result_row->user_email, time() + (3600*24*100));
   $this->user_is_logged_in = true;

不幸的是,在用户可以访问的页面上,没有人写检查以确保用户在访问该页面时已登录。因此,如果一个人只是直接输入 URL,他们就不必登录。

我想知道验证用户是否登录的最佳方法。目前我正在使用这个,但我不知道它是否是多余的(意思是:cookie变量总是等于会话变量,所以检查没有意义两者都有?)任何输入都会有所帮助。

session_start();
if(!(isset($_COOKIE['user_email']) && 
    isset($_SESSION['user_email']) &&
    ($_COOKIE['user_email']===$_SESSION['user_email']) &&
    isset($_COOKIE['user_name']) && 
    isset($_SESSION['user_name']) && 
    ($_COOKIE['user_name']===$_SESSION['user_name']) && 
    isset($login) && 
    $login->isUserLoggedIn())){
        header("location:../../index.php");
        exit;
     }

(抱歉,代码格式不正确,我仍在尝试找出本网站上文本格式的细微差别)

4

1 回答 1

2

使用会话时,已经存在一个带有会话 ID 的 cookie,它映射到服务器端 php 会话。您在那里注册的所有数据都将在全局 $_SESSION 数组中可用。将数据存储在 cookie 和服务器上通常是没有意义的。

您将数据存储在 cookie 中的唯一原因是,如果您在同一个域名上有更多站点需要共享 cookie 数据。

于 2012-11-09T12:29:04.350 回答