0

Webサイトのページ間でデータを転送するための最良の方法は何ですか?たとえば、私はこのサイトにログインしていて、ページを何回切り替えても、ブラウザを閉じてもログインしたままになります。これはどの程度正確に行われますか?クッキーの使用を考えていますが、本当にわかりませんか?

ありがとう!

4

2 に答える 2

1

はい、セッションIDを保存するCookieがあるため、通常はログインしたままになります。

于 2012-04-12T04:05:41.827 に答える
1

Cookies と Sessions の 2 つのオプションがあります。

経験則: ユーザー入力を信頼しないでください。Cookie はユーザー入力であり、Cookie に保存されているセッション ID はユーザー入力であり、http ヘッダーはユーザー入力です。これらはすべての可能性についてトリプル チェックする必要があります。一方、セッション データはサーバーに保存されるため、/tmp に保存されていない場合でも多かれ少なかれ安全です。

セッション認証の最も一般的な設定の 1 つは、セッション ID が Cookie に保存され、パスワードを含むその他すべてがセッションに保存されるというものです。Cookie の ID に基づいてセッションを開始した後、セッション データからユーザー ID を取得し、そこに保存されているパスワードがまだ有効かどうかを確認する必要があります。

セッション変数を設定すると、別のセッション Cookie をハイジャックしない限り、ユーザーはそれを直接変更できません。

主に注意する必要があるのは、共有ホスティングであり、セッション データは安全ではありません (通常、他のサイトから見ることができます)。

また、Cookie データも安全ではないことに注意してください。フォームデータが信頼されるべきではないのと同じように、信頼されるべきではありません (クライアントの検証が何を伝えようとも)。

パスワードのベスト プラクティスは次のとおりです。

  • パスワードをハッシュ形式でデータベースに保存します。できれば SHA1 (最初の選択肢) または MD5 (2 番目の選択肢) を使用します。
  • ユーザーのパスワードを受け取ったら、それを暗号化し、データベースに保存されているものと照合します。
  • ユーザー セッションでログイン ユーザー名を設定します。
  • Cookie を永久に保持するのではなく、一定期間 (日数が経過したとしても) 期限切れにする。と
  • 可能な場合は、安全な接続 (HTTP ではなく HTTPS) を使用してください。SSL証明書は安価です。
于 2012-04-12T04:17:16.387 に答える