当用户登录并记住我检查时,我使用md5为cookie创建一个随机令牌。
md5(uniqid(rand(), true));
我将用户的IP地址附加到他们唯一的user_id并使用bcript散列。 (我不会将其添加到COOKIE)我将使用md5的bcript哈希和随机令牌与其用户ID一起存储到表中。该行将具有自动增量值。 cookie包含md5和附加的自动增量值。
当用户访问网站时,我会使用cookie的自动增量值来查找md5哈希值。如果匹配,我将用户IP地址与user_id(存储在表中)一起散列,并查看它是否与存储在同一行中的哈希值匹配。如果它确实登录,我为他们的cookie创建另一个md5哈希。
我知道md5本身并不安全,但我想知道我使用brcript和IP地址采取的额外步骤是否安全,或者任何人都可以看到一些大规模的安全漏洞。
编辑:我只是在为ip和user_id使用Bcript时添加,我使用php函数password_hash也会创建一个salt。