作者HwangTW (谷歌翻译王)
看板PHP
标题[请益] PHP验证帐号的方式
时间Wed May 25 11:47:12 2016
因公司接触到aspx,而我也发现这东西只要有最高权限的GUID(固定)
即使在无痕模式下也能直接登入
PHP有没有办法可以防范这种GUID攻击方法(我想写的,与公司aspx无关)
例如在我的网站下以 index.php 为登入页面 (以 www.example.com 为例)
网站之下的分支都得登入後才能观看/操作的
即使直接输入 www.example.com/test/test.php
1. 未经授权存取
直接转到 www.example.com 待使用者输入帐号後
在某个 iframe 显示 www.example.com/test/test.php 的内容
2. 有授权存取
直接转到 www.example.com 并在某个 iframe 显示该内容
最後一个问题 cookie 该怎麽写QQ
在此请教了
--
当你年轻的时候 你会觉得真爱无敌 面包以後就会有
当你中年之後 你会发现真爱很重要 所以他需要面包来保护
--文章代码(AID):
#1LOyQl47 (Gossiping) 作者:
yasaq
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.133.80.67
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1464148035.A.1F0.html
1F:推 GALINE: 不要把登入/帐号资讯放在 cookie 里面,只存session id 05/25 12:14
2F:→ GALINE: 登入後的权限放在session里面不让client碰 05/25 12:14
session id该怎麽写QQ 有教学吗?
3F:→ MOONRAKER: 不是session id是session 你有听过google吗 05/25 13:36
SORRY 那时候才刚碰(?
刚刚嚼了好多文章(滚滚
4F:推 wilson200106: 做session,然後做个function判断登入,塞在header 05/25 14:46
5F:→ wilson200106: if(!is_login()) { } 类似这样 05/25 14:46
function判断登入...我好像还没那麽高等orz
※ 编辑: HwangTW (220.133.80.67), 05/25/2016 16:59:24
6F:→ xdraculax: cookie 保持登入还蛮普遍的说 0.0 只是要存含IP编码过 05/26 12:43
7F:→ xdraculax: 的 05/26 12:43