我有一个包含免费和付费计划的网络应用程序。
用户选择一个计划,然后注册。注册后,在他付款之前,我使用免费帐户登录用户。一旦他付款并且交易回调成功,我想用他支付的新计划再次登录他。我想到的一种方法是:
1)用户注册 2)他注册了一个免费帐户,并且散列密码存储为 php session var 3)他支付 4)交易成功 5)我调用一个查找散列密码 session var 的 php 文件和基于此更新用户
这种方法有什么明显的问题吗?可以使用散列密码作为会话变量吗?此流程是否存在明显的安全风险?