我正在寻找有关如何使用 Cookie 将身份验证与 PHP 最佳结合的技巧和想法。
每个 php 脚本是否应该检查 cookie 值以确定用户是否仍处于登录状态?是否应该有一个脚本来执行此检查并从其他每个脚本中包含该脚本? php可以从文件系统的不同深度看到cookie值吗?
喜欢:blahblahblah.com/和 blahblahblah.com/login/
他们都可以读取 cookie 吗?
一个帖子有很多问题,但是谢谢!
最佳答案
在客户端没有什么是安全的。
您可以在任何浏览器上轻松更改 Cookie 上的登录标志。因此更推荐将登录相关的数据保存在 php 的 $_SESSION
如果您希望延长 session ,只需查看 session_set_cookie_params()
。
默认情况下,同一个 session 将用于当前域和该域上的所有路径。因此它对于 blahblahblah.com/和 blahblahblah.com/login/都是可读的
当用户登录时,将用户名和密码的哈希值保存在Session中。
在每个脚本的开始,使用数据库中的用户名和密码验证 session 的用户名和密码。如果正确,则设置一个标志(例如 $userLoggedIn = true)以在服务器端指示用户已登录。否则为 false。
关于php - 使用 Cookie 进行 PHP 身份验证的最佳做法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1634324/