我一直在研究PHP登录脚本(到目前为止,我发现的主要内容是有更多不好的东西,而不是那里的好东西......),唯一令我困惑的事情是在登录脚本中一起使用会话和cookie。
我认为我理解会话的使用,就用户何时通过登录检查而言,在会话中存储一些唯一变量并通过页面进行跟踪,以便页面知道它是哪个用户,但我到目前为止始终使用用户的用户名或电子邮件地址。我已经读过使用在session_start()中创建的session_id,并将该值存储在cookie以及user_id中,但是想知道这是什么奖励..(它是否比用户名更难猜测?)。 session_id cookie也用于在用户存在时自动重新登录(如“记住我”功能)或是否对此进行了进一步检查? Cookie值与哪里匹配?
如果这是一个微不足道的问题,请道歉,只是不想在敏感问题上开始走错路。
答案 0 :(得分:1)
关于PHP安全性的权威答案,我强烈推荐Chris Shiflett的Essential PHP Security。对于不使用框架的PHP开发人员来说,这是非常宝贵的。