php 如何使用cookie安全的保存登錄狀態(tài)sessionid

同樣還是將用戶的認(rèn)證信息保證在一個(gè)cookie中，具體如下：

創(chuàng)新互聯(lián)成立與2013年，先為尼瑪?shù)确?wù)建站，尼瑪?shù)鹊仄髽I(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為尼瑪企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

1.cookie名：uid。推薦進(jìn)行加密，比如MD5('站點(diǎn)名稱'+userid)。

2.cookie值：登錄名|有效時(shí)間Expires|hash值。hash值可以由"登錄名+有效時(shí)間Expires+用戶密碼（加密后的）的前幾位+salt"，salt是保證在服務(wù)器端站點(diǎn)配置文件中的隨機(jī)數(shù)。

這樣子設(shè)計(jì)有以下幾個(gè)優(yōu)點(diǎn)：

1.即使數(shù)據(jù)庫被盜了，盜用者還是無法登錄到系統(tǒng)，因?yàn)榻M成cookie值的salt是保證在服務(wù)器站點(diǎn)配置文件中而非數(shù)據(jù)庫。

2.如果賬戶被盜了，用戶修改密碼，可以使盜用者的cookie值無效。

3.如果服務(wù)器端的數(shù)據(jù)庫被盜了，通過修改salt值可以使所有用戶的cookie值無效，迫使用戶重新登錄系統(tǒng)。

4.有效時(shí)間Expires可以設(shè)置為當(dāng)前時(shí)間+過去時(shí)間（比如2天），這樣可以保證每次登錄的cookie值都不一樣，防止盜用者窺探到自己的cookie值后作為后門，長期登錄。

PHP能否使用include做用戶登錄信息保存？

理論上可以，

新建一個(gè)登陸信息.php，然后include這個(gè)文件，

然后每次登陸用戶，你就把他的標(biāo)識信息保存到這個(gè)文件中，

然后每次根據(jù)文件中的是否含有某個(gè)用戶的標(biāo)識來判斷他是不是在線，

不過這樣有點(diǎn)傻，為啥不用session呢，

php保存數(shù)據(jù)問題

防不了。只是別人沒登錄的話，進(jìn)入不了主頁面。sql注入是別人利用你的sql語句漏洞來進(jìn)行刪除操作。還有如果你sql語句寫的不嚴(yán)謹(jǐn)，別人用萬能用戶名葉可以進(jìn)去，為了防止sql注入可以用pdo連接數(shù)據(jù)庫，用里面的prepare預(yù)處理來使用占位符，綁定參數(shù)。這樣別人就進(jìn)不去了，防止惡意攻擊破壞。

分享文章：php登陸保存數(shù)據(jù),php導(dǎo)入數(shù)據(jù)庫
文章起源：http://chinadenli.net/article36/hegisg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供面包屑導(dǎo)航、小程序開發(fā)、定制網(wǎng)站、品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站改版、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)