21,890
社区成员
发帖
与我相关
我的任务
分享php怎么安全判断用户是否登入
以前仅仅是 使用将username放在session中 然后再需要权限的地方去判断 username是否存在
但是如果黑客获取到了这个session id e并伪造提交给服务器 该怎么办?
请各位大神讲讲怎么才能够安全的验证用户是否登入 将session放在mysql中吗?
...全文
请发表友善的回复…
发表回复
黄袍披身 2012-08-10
- 打赏
- 举报
如果cookie给人控制了也就意味着对方的电脑给人控制了,那么木马嗅探他的密码什么的就已经很简单了。所以你也就别操心了...
happypiggy2010 2012-08-10
- 打赏
- 举报
session检验。强制使用ssl。
qq120848369 2012-08-10
- 打赏
- 举报
https防止明文账号密码和session-cookie被窃取。
至于cookie直接被人从计算机里盗走,无能为力。
另外,应该在登陆时就查数据库确定用户权限并记录在SESSION里,以后就不查数据库验证权限了,因为SESSION是服务端维护的,是安全可靠的,只不过COOKIE可以被人拿来拿去。
至于cookie直接被人从计算机里盗走,无能为力。
另外,应该在登陆时就查数据库确定用户权限并记录在SESSION里,以后就不查数据库验证权限了,因为SESSION是服务端维护的,是安全可靠的,只不过COOKIE可以被人拿来拿去。
xuzuning 2012-08-10
- 打赏
- 举报
[Quote=引用 1 楼 的回复:]
可以在session中同时保留这个用户的登陆时IP地址,或者登录地点。
只要IP地址出现变动,则SESSION id无效。
[/Quote]++
这似乎是目前流行的做法。
CSDN也是这样做的,取消了验证码,很人性化
可以在session中同时保留这个用户的登陆时IP地址,或者登录地点。
只要IP地址出现变动,则SESSION id无效。
[/Quote]++
这似乎是目前流行的做法。
CSDN也是这样做的,取消了验证码,很人性化
改一下昵称 2012-08-09
- 打赏
- 举报
可以在session中同时保留这个用户的登陆时IP地址,或者登录地点。
只要IP地址出现变动,则SESSION id无效。
只要IP地址出现变动,则SESSION id无效。
