作者inventorr (风之子)
看板PHP
标题[请益] 检查是否登入更安全的做法?
时间Sun Aug 28 15:48:08 2011
大家好 想请问一下
有些网页需要登入後才可浏览
一般都是检查 是否有设定 某个栏位(ex:password) 的cookie or session
我个人目前是检查 userid 跟 password 的cookie有没有设定
不过现在忽然觉得 只检查有没有设定 是不是安全性有点弱呢
因为user可以自己随便设定
但如果那些页面都去开资料库检查 userid 与 password是否正确 却又有点觉得不必要
不知道大家有没有折衷的想法 (不用session的话)
目前有想到对cookie加密
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 111.250.23.116
1F:→ emn178:为何不用Session 08/28 15:55
2F:→ arrack:每个月都有人问不用SESSION,只用COOKIES的话... 08/28 17:18
3F:→ arrack:你把密码藏在cookies,一下子就被有心人士偷走了... 08/28 17:19
4F:→ arrack:与其对cookies加密,直接用SESSION不是更安全? 08/28 17:19
5F:推 chchwy:放Cookie = 放任资料给别人乱搞 08/28 18:41
6F:→ lazyhome:用session 在加上资料库里在搞个session table 08/29 00:51
7F:→ lazyhome:且session 并不是要你拿来放密码用的= =更何况是cookie 08/29 00:53
8F:推 godspeedlee:我看到还有一种是加上检查ip&agent(存在session里比 09/03 15:26
9F:→ godspeedlee:对 09/03 15:26