作者inventorr (風之子)
看板PHP
標題[請益] 檢查是否登入更安全的做法?
時間Sun Aug 28 15:48:08 2011
大家好 想請問一下
有些網頁需要登入後才可瀏覽
一般都是檢查 是否有設定 某個欄位(ex:password) 的cookie or session
我個人目前是檢查 userid 跟 password 的cookie有沒有設定
不過現在忽然覺得 只檢查有沒有設定 是不是安全性有點弱呢
因為user可以自己隨便設定
但如果那些頁面都去開資料庫檢查 userid 與 password是否正確 卻又有點覺得不必要
不知道大家有沒有折衷的想法 (不用session的話)
目前有想到對cookie加密
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.250.23.116
1F:→ emn178:為何不用Session 08/28 15:55
2F:→ arrack:每個月都有人問不用SESSION,只用COOKIES的話... 08/28 17:18
3F:→ arrack:你把密碼藏在cookies,一下子就被有心人士偷走了... 08/28 17:19
4F:→ arrack:與其對cookies加密,直接用SESSION不是更安全? 08/28 17:19
5F:推 chchwy:放Cookie = 放任資料給別人亂搞 08/28 18:41
6F:→ lazyhome:用session 在加上資料庫裡在搞個session table 08/29 00:51
7F:→ lazyhome:且session 並不是要你拿來放密碼用的= =更何況是cookie 08/29 00:53
8F:推 godspeedlee:我看到還有一種是加上檢查ip&agent(存在session裡比 09/03 15:26
9F:→ godspeedlee:對 09/03 15:26