- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在开发一个网站,想要创建用户登录和 session 。检查 session 是否存在的最安全方法是什么(例如 cookie 或 session 变量检查),或者有比在 php 中使用 session 更好的主意吗?
最佳答案
session_id()
returns the session id for the current session or the empty string ("") if there is no current session (no current session id exists).
但这只是告诉您 session 是否处于事件状态。
大多数时候,我只是在每个脚本的开头调用 session_start();
(即使用户未登录)。登录时,我使用用户 ID 或用户对象设置 $_SESSION['user']
。注销时,我只是unset($_SESSION['user']);
。通过检查 empty($_SESSION['user'])
我可以检查某人是否仍然登录。如果您在 session 中的其他位置存储与用户相关的信息,请不要这样做,否则下一个登录的人可能会得到他不应该看到的信息(在这种情况下使用 session_destroy();
) .
但是安全吗?只需通过 GET/POST url 重写(仅限 cookie)停用 session ID 传播,这样它们就不会出现在可以缓存或分发给其他人的 URL 中(在这种情况下, session 劫持是可能的)。您可以通过在 php.ini 中设置 session.use_only_cookies
来做到这一点。
如果您托管在不受信任和/或配置错误的共享服务器上,可能会出现其他安全问题 - 它可能会导致同一台计算机上的其他人读取您的 session 数据。在这种情况下,您可以通过重写 session 处理程序将 session 数据存储在数据库中。只需在 intertubes 上搜索session handler mysql
,我确信有足够的现成解决方案。并且不要在 session 中存储密码等敏感信息,最好每次需要比较时都进行查询。
除此之外...使用 ssl/https 进行登录和用户管理,因此不会传输明文密码。仅在数据库中存储带盐的密码哈希值。不要让任何人看到密码(意思是:永远不要将它们打印到 html 或电子邮件中)。不要对用户可以看到的 id 使用 auto_increment 值(因此,猜测)。好吧,这已经超出了问题范围。
关于php - 在 php 中创建 session 的最安全方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/752332/
我想了解 Ruby 方法 methods() 是如何工作的。 我尝试使用“ruby 方法”在 Google 上搜索,但这不是我需要的。 我也看过 ruby-doc.org,但我没有找到这种方法。
Test 方法 对指定的字符串执行一个正则表达式搜索,并返回一个 Boolean 值指示是否找到匹配的模式。 object.Test(string) 参数 object 必选项。总是一个
Replace 方法 替换在正则表达式查找中找到的文本。 object.Replace(string1, string2) 参数 object 必选项。总是一个 RegExp 对象的名称。
Raise 方法 生成运行时错误 object.Raise(number, source, description, helpfile, helpcontext) 参数 object 应为
Execute 方法 对指定的字符串执行正则表达式搜索。 object.Execute(string) 参数 object 必选项。总是一个 RegExp 对象的名称。 string
Clear 方法 清除 Err 对象的所有属性设置。 object.Clear object 应为 Err 对象的名称。 说明 在错误处理后,使用 Clear 显式地清除 Err 对象。此
CopyFile 方法 将一个或多个文件从某位置复制到另一位置。 object.CopyFile source, destination[, overwrite] 参数 object 必选
Copy 方法 将指定的文件或文件夹从某位置复制到另一位置。 object.Copy destination[, overwrite] 参数 object 必选项。应为 File 或 F
Close 方法 关闭打开的 TextStream 文件。 object.Close object 应为 TextStream 对象的名称。 说明 下面例子举例说明如何使用 Close 方
BuildPath 方法 向现有路径后添加名称。 object.BuildPath(path, name) 参数 object 必选项。应为 FileSystemObject 对象的名称
GetFolder 方法 返回与指定的路径中某文件夹相应的 Folder 对象。 object.GetFolder(folderspec) 参数 object 必选项。应为 FileSy
GetFileName 方法 返回指定路径(不是指定驱动器路径部分)的最后一个文件或文件夹。 object.GetFileName(pathspec) 参数 object 必选项。应为
GetFile 方法 返回与指定路径中某文件相应的 File 对象。 object.GetFile(filespec) 参数 object 必选项。应为 FileSystemObject
GetExtensionName 方法 返回字符串,该字符串包含路径最后一个组成部分的扩展名。 object.GetExtensionName(path) 参数 object 必选项。应
GetDriveName 方法 返回包含指定路径中驱动器名的字符串。 object.GetDriveName(path) 参数 object 必选项。应为 FileSystemObjec
GetDrive 方法 返回与指定的路径中驱动器相对应的 Drive 对象。 object.GetDrive drivespec 参数 object 必选项。应为 FileSystemO
GetBaseName 方法 返回字符串,其中包含文件的基本名 (不带扩展名), 或者提供的路径说明中的文件夹。 object.GetBaseName(path) 参数 object 必
GetAbsolutePathName 方法 从提供的指定路径中返回完整且含义明确的路径。 object.GetAbsolutePathName(pathspec) 参数 object
FolderExists 方法 如果指定的文件夹存在,则返回 True;否则返回 False。 object.FolderExists(folderspec) 参数 object 必选项
FileExists 方法 如果指定的文件存在返回 True;否则返回 False。 object.FileExists(filespec) 参数 object 必选项。应为 FileS
我是一名优秀的程序员,十分优秀!