4

Web サイトで「Remember Me」を実行しようとしており、以下のコードをログイン スクリプトに追加しました。

パスワードは sha1() 関数を介して実行され、ユーザー名はトリミングされ、SESSION に割り当てる前に mysql_real_escape_string() を介して実行されます。

ハイジャックに対して、これをより安全にするにはどうすればよいですか。

ありがとう。 

if($_POST['remember']) {
    setcookie("CookieUser", $_SESSION['usrename'], time() + 60 * 60 * 24      100, "/");
    setcookie("CookiePass", $_SESSION['password'], time() + 60 * 60 * 24       100);
}
4

1 に答える 1

1

覚えておいてください、トークン設定を使用します。ユーザーがユーザー名とパスワードを使用してシステムにログインすると、それぞれのユーザー名、IP、およびその他の要素を使用してトークンがデータベースに生成されます。Cookieとして保存するために同じトークンとユーザー名を使用し、ユーザーがトークンを返し、Cookieからユーザー名を返すと、指定されたIP、ユーザー名、その他の要素でトークンを再度確認し、すべてに一致する場合はユーザーのログインステータスを設定します。

このように私はパスワードをクッキーに保存することをスキップし、いくらか安全なものです。

于 2012-05-15T06:19:25.307 に答える