php - 应该在 Cookie 中保存什么类型的信息 (PHP)

Question

我正在制作一个登录/注销类，让用户登录，根据用户的选择设置 cookie。用户输入他们的电子邮件/密码并检查数据库，电子邮件/密码组合存在创建一个 session ，并设置一个 cookie(使用用户 ID)并重定向用户......然后我有一个记录用户的功能通过获取保存在该 cookie 中的用户 ID，检查该用户 ID 是否存在，然后再次将用户数据保存在 session 中……我想知道是否有人看到这有什么潜在的错误/不安全。

简短的例子，我相信你们可以理解它的要点......

function login($email, $password, $remember){
  // Check the database for email/password combo
  if(/*user exists*/){ // if the user exists
    $_SESSION = /*User data*/ // save the users data in a session
    if($remember){
      setcookie('user_id', /*User id*/); // save the user id in a cookie
    }
    header("location: index.php");// redirect
  }
}

function Check_Cookie(){
  if(isset($_COOKIE['user_id'])){
    return $this->Log_In_ID($_COOKIE['user_id']);
  }else{
    return false
  }
}

function Log_In_ID($id){
  //Check the database if the user id exists
  if(/*user exists*/){ // if the user exists
    $_SESSION = /*User data*/ // save the users data in a session
    header("location: index.php");// redirect
  }else{
    return false;
  }
}

这不是我想问的问题的详细示例，但我相信您可以理解它的要点……有没有人发现这有什么潜在的问题。如果你们有任何建议，我很想听听……此外，你们是否使用 oop 或任何其他方式登录用户。

Answer 1

如果您的用户 ID 是一个连续的数字，这是非常不安全的，因为任何人都可以将他们的 cookie 更改为另一个基于他们自己的看起来合理的数字(例如，如果我的是 1274，我可以尝试该范围内的其他数字)并立即欺骗该用户。

您最好分配一个与该用户关联的临时 ID，例如 GUID .由于 GUID 在天文学上是独一无二的，而且实际上是防碰撞的，因此它们几乎不可能从系统外部猜测或预测。

当用户登录时，您创建一个新的 GUID 并将其与用户一起存储:

UserID        TokenID                                        Expires
1274          {3F2504E0-4F89-11D3-9A0C-0305E82C3301}         9/25/2009 12:00:00

当用户返回时，通过 token 查找他们的用户 ID，确保 token 没有过期并登录。然后更改他们的 token 。这可以保护您免受以下侵害:

• 攻击者无法猜测和欺骗其他用户的 token
• 无法通过忽略 cookie 的到期日期来规避 token 过期
• 由于 token 不断变化，即使攻击者设法获得对用户 cookie 的访问权限，接管的机会也非常小。