当用户注册帐户时,会创建一个包含列的表格;用户标识和令牌。这是因为如果用户在不同计算机上登录时检查记住我,则每台计算机都有不同的令牌。
register.php
//user specific table created
$create = $connectdb->prepare("CREATE TABLE `user-:username` (userid INT, token varchar(200)");
$executequery = $create->execute(array("username"=>$username));
这是login.php的一个片段;我创建令牌,将令牌存储在cookie中并将令牌插入该用户特定表
if($remember==1) {
$token = md5(uniqid('',true));
setcookie('token',$token,time()+60*60*24*365);
$rememberquery = $connectdb->prepare("INSERT INTO `user-:username` VALUES ('',:username,:token)");
$rememberquery->execute(array(":username"=>$username,":token"=>$token));
$_SESSION['username'][0] = $username;
$_SESSION['username'][1] = $userid;
}
现在我卡住了(假设我已经完成了以前的正确)。何时/如何检查cookie令牌到数据库令牌?
答案 0 :(得分:4)
正确的身份验证很难正确执行,因此,您必须不时地扮演一个小黑客才能使事情变得更加正确。首先,您应该阅读Session Management Cheat Sheet和owasp页面。
本讲座结束后,您应该了解会话管理的内容和内容。但如果你需要记住我的备忘单;)它应该是这样的:
微软Threats and countermeasures 也是一个很好的出版物,它可以帮助你很多。