如何在注册和登录阶段使用 cookie?
用户登录->我使用他们的ID设置为cookie->他们关闭了浏览器->然后当他们回来时,主页检测是否有cookie->如果有,则重新登录用户..
听起来不对,因为我还需要将用户名和密码存储为 cookie?
问问题
342 次
3 回答
0
Cookies 存储在客户的机器上,可以很容易地进行操作。因此,使用会话。对于“记住我”功能,您应该将令牌存储在 cookie 中,并在每次用户使用它登录时使其无效。此外,请确保设置合理的到期时间。
互联网上有很多关于此的资源。请记住,即使这种方式也不是绝对安全的,许多网站会要求您重新输入密码才能执行极其重要的操作(例如更改登录凭据、信用卡号等)。您永远不应该完全信任使用 cookie 进行身份验证的用户。
例如。你可以让他看到他正常登录的东西,但不要让他在没有重新确认旧密码的情况下更改他的密码/电子邮件。
于 2013-10-06T10:09:00.207 回答
0
去session代替cookies.
这是一个简单的例子。
<?php
session_start();
if(!isset($_SESSION['user']))
{
echo "Hi this is your first time. Enjoy the stay";
$_SESSION['user']='set';
}
else
{
echo "Thanks for coming back";
}
于 2013-10-06T10:09:58.140 回答
0
Cookie 不安全,主要原因之一是到期日期是根据您的系统日期计算的。
验证用户凭据后,使用此代码对用户进行身份验证
$_SESSION['created'] = time();
$_SESSION['last_activity'] = time();
为您网站中的每个页面调用以下代码。这将在 $session_expire 秒后自动使会话过期,并保护您免受SESSION FIXATION 攻击
$session_expire = 3600;
// Check if user is online
if(isset($_SESSION['created']) && $_SESSION['created']) {
// If the last request has been done before 'session_expire' seconds ago, we've to destroy this SESSION
if (isset($_SESSION['last_activity']) && (time() - $_SESSION['last_activity'] > $session_expire)) {
// logout the user
session_unset();
session_destroy();
} else {
// Update the last activity timestamp
$_SESSION['last_activity'] = time();
// Prevention from session fixation attacks
if (time() - $_SESSION['created'] > $session_expire) {
// Regenerating session_id
session_regenerate_id(true);
// Updating creation time
$_SESSION['created'] = time();
}
}
}
于 2013-10-06T10:31:18.310 回答