我在社区页面上工作,我已经查看了很多与登录安全相关的内容,但我仍然对如何保护 session 安全感到困惑。成功登录后我唯一要做的就是将 $_SESSION['username']
设置为他们的用户名。
用户注册,我使用准备好的语句插入数据库。密码存储使用
password_hash($password, PASSWORD_DEFAULT).
登录从数据库中获取散列密码并使用
password_verify($password, $storedPassword)
如果 password_verify 为真,我会在 session token 中设置他们的用户名。我应该做更多吗?我也应该在 session 中存储密码吗?并不断检查以确保这两个标记在每个页面上都匹配?
在此先感谢您的帮助,我发现缺少有关如何处理登录后安全性的信息。
最佳答案
无需为session设置密码。没有人可以窃取您的信息,因为php是一种服务器脚本语言。 session 启动后,您的 PHP 代码将自动处理它。
关于PHP 登录和处理 session 安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30111268/