> 推 GALINE: 不要把登入/帳號資訊放在 cookie 裡面，只存session id > → GALINE: 登入後的權限放在session裡面不讓client碰 > session id該怎麼寫QQ 有教學嗎? 簡單的答案： 別管 cookie，跟他分手，不要用它。 程式開始前先呼叫 session_start()，然後把資料都存進 $_SESSION，不要存 cookie。 登出的時候記得把 $_SESSION 裡面對應的參數全部清掉。 ----------------------------------------------- 稍微詳細一點的回答： 關於 session，可以想成是 PHP 對於每一個使用者都在 server side 都開一塊空間存 個人資料。你可以在 session 裡面放「這人登入的帳號是啥，權限是啥」...之類 的東西。因為在 server 上所以使用者碰不到，不能自己修改 寫資料進 $_SESSION 這個 super global 就等於是寫資料到 session 裡面。 如果 session 被啟用，這個變數裡面的資料會一直留著，直到 session 放太久過期 在使用他之前你需要呼叫 session_start()，除非機器有設定自動 session start 但是每個 HTTP request 都是等價的，我要怎麼知道哪個 request 是誰？ 答案是 PHP 會發給每個人一個臨時身份 ID，也就是所謂的 session id。例如： 小明進站 -> Server 發給小明 ID 是 1 小桃進站 -> Server 發給小桃 ID 是 2 之後小明跟小桃的每一個 request 都會帶著 session id server 只要看到 session id 是 1 就知道那是小明， 2 就是小桃，3 就是有人來亂... session id 通常會放在 cookie 裡面，所以每次 request 都會自動帶給 server 這一段 PHP 會幫你做掉，你不用(也不該)自己對 cookie 動這一段手腳 當然，對於有能力的使用者他可以亂改 cookie 裡面的 session id 但是除非他知道其他人的 session id，不然他亂改只會讓自己被登出 另外，現實生活中的 session id 不會是 1/2/3，而是 ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng 這樣一大串，所以要猜也不是那麼好猜到，除非你面對的人超厲害... 假設你一切做對，那麼 cookie 裡面只會剩下一堆亂七八糟的ID 沒辦法從 cookie 裡面找到帳號密碼或權限...之類的資料 cookie 也不是完全不能用，只是以「登入」來說不該用... ----------------------------------------------- 這只是初階，更多 cookie 跟 session 的安全性討論可以看這篇文章 http://devco.re/blog/2014/06/03/http-session-protection/ 如果看不懂...就...表示你還沒有能力擔心到這塊，慢慢學吧... -- 莉娜用魔法爆破進入屋內。 劫犯從另一個房間裡出現，大叫道︰「妳是誰！」 莉娜︰「我是個可疑的女人！」 劫犯無言以對。 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.122.206 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1464160732.A.262.html ※ 編輯: GALINE (60.248.122.206), 05/25/2016 15:19:37 ※ 編輯: GALINE (60.248.122.206), 05/25/2016 15:21:16