私はstackoverflowで次のことを読みました:
never store the users password or even a hash of the password in session or cookie data.
私は、一定のパスワードをチェックするシステムを作成している最中です。それがセッションに保存されたものと異なる場合は、強制的にログアウトします。Facebookのような何か?パスワードを変更した場合、またはパスワードが変更された場合、ログアウトされます。
私のコードは以下のとおりです。
function ConstantPassword($Password)
{
if ($_SESSION['Password'] !== $Password)
{
include "Logout.php";
}
}
しかし、パスワードをセッション/Cookieに保存しないと言われたら?これに対する別の回避策は何ですか?
セッションにソルト(またはそのハッシュ)を保存できます。
パスワードを変更するとソルトが変更され、セッションが無効になります。
チェックを 1 回実行してから、$_SESSION['logged_in'] = TRUE変数を格納できます。ログアウトするunset($_SESSION['logged_in'])と、それとsession_destroy()セッション。パスワードもソルトもセッションに入れる必要はありません。
また、独自にパスワードを実装するべきではありませんが、代わりにこれを使用してください: https://github.com/ircmaxell/password_compatこれは、PHP 5.5 に含まれる予定のライブラリです。
データベースにペア(random_hash、user_id)を保存するよりもパスワードを1回確認し、random_hashをセッションに入れます。
セッションにパスワードを保存したくない場合は、代わりに最後のパスワード変更のタイムスタンプを保存し、リクエストごとにデータベースに対して検証することができます。