私は「私を覚えている」ログインフォームを覚えているのですが、今まで読んできたチュートリアル(部分的に私が正しいことを確認するために)は、すべて暗号化されたパスワードをユーザー名と共にクッキー次に、PHPが現在のユーザーがログインしていないかどうかを確認するたびに、Cookieをチェックしてその値を探します。ユーザー名がパスワードと一致する場合、あなたはログインしています。PHP「Remember Me」のセキュリティ上の欠陥?
私にとって、これはセキュリティ上の大きな穴です。誰かがデータベースをハッキングしたり、何らかの形で暗号化されたパスワードにアクセスしたりすると、パスワードを解読する必要はありません。ちょうどあなた自身のクッキーをセットして行ってください。私は訂正したのですか?
私のログインシステムは、現在のユーザーIDを追跡するためにセッションを使用し、迅速なログイン/ログアウトチェックのために1/0を使用します。ユーザーはAFAIKセッションを編集できないので、これは安全です(そうでない場合は教えてください)。セッションIDをクッキーに保存して後で再開することを考えていましたが、安全ではありません。
私はユーザーのセキュリティについて多くのことを心配していますが、機能しているウェブサイトを維持しながら、情報を適切に保護するにはどうすればよいですか?
暗号化されたパスワードは保存されません.X日以内に有効期限が切れるCookieにuser_IDだけが格納されます。 「機密」領域(アカウント/プロファイル管理など)では、有効な$ _SESSION(ログイン時に設定する必要がある)がない場合にログインを要求することができます。 – JennyDanger
クッキーに保存する場合、セッションIDをどのように保存していますか?「安全ではありませんか? –
@georgefox現在、私は何にでもセッションIDを格納していません、私はそれが覚えている私の機能の可能性だと言っていました。 – Scott