0

現在、パスワードをデータベースに保存し、セッション cookie で確認していますが、ユーザーの認証が非常に遅くなり、多くのユーザーがいるため、Web サイト用の ssl 証明書を購入しました。ハッシュ化されたパスワード (sha512) を保存するのが安全かどうかを知る必要があります。クッキーに入れますか?これはセッションを保存するための私のコードです

session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly);

false に設定されたセキュア パラメータは true に設定するだけで十分ですか、それともユーザーがアドレス バーにhttp://site.comを挿入したときにユーザーを https にリダイレクトする必要がありますか?

4

2 に答える 2

0

ユーザーがログインしているかどうかを確認する必要がある場合は、パスワードを保存しないでください。ユーザーが入力したパスワードの再ハッシュ値を DB のハッシュと比較し、セッションを開始してログイン フラグを true に設定します。次に、ユーザーのログインが必要な部分については、ifステートメントを使用して、そのユーザーの$_SESSION['loggedin'] === true. この方法では、機密情報をユーザーのローカル マシンに保存することはなく、ユーザーが$_SESSIONスーパーグローバルに直接アクセスして自分の状態を台無しにする方法はありません。

于 2013-05-16T14:53:57.360 に答える