我正在制作我的第一个完整网站,用户可以注册并登录。以下cookie是否安全?我是否需要更具体的名称随机代码而不是用户名或密码?
setcookie("username", "$username", time()+3600);
setcookie("password", "$password", time()+3600);
答案 0 :(得分:1)
有人可以从您的用户浏览器中窃取cookie文件并获取其用户名/密码,您不希望这样。因此,您为用户提供一些随机的身份验证令牌(会话ID),并将服务器端的用户与包含登录信息的数据集相关联。 Php已经内置了该功能。
所以你应该使用php的会话引擎。 http://de3.php.net/manual/en/book.session.php
如果您的浏览器不支持Cookie,它还可以解决问题。
答案 1 :(得分:1)
如果用户想要记住他们的登录名和密码以自动登录,则应该使用它。如果不使用会话。
密码应该编码。 永远不要存储有人直接输入的密码! 如果您的密码是编码的,则是安全的,例如:
md5('my_password');
使用此编码无法解密密码,因为它与无限的值相关联。
比较两个密码时,如果两个密码都被编码,则查看是否存在相同的密码
答案 2 :(得分:0)
是的,它们是安全的,因为它们仅适用于计算机/浏览器。 (饼干)。
时间很好,因为他们在一小时后自动删除。
是,为Cookie的ID指定更多随机代码而不是“username”和“password”,例如“(nameofsite)usern”和“(nameofsite)pas”,作为名称为“username”的Cookie “和”密码“可能会干扰来自其他网站的用户计算机/浏览器上的已经的Cookie。
我假设您已经在提交密码时对其进行了编码。