我的问题是我如何制作安全的饼干?在我的网站中,用户登录和引擎创建cookie“userid”并且值为用户名。但问题是,所有用户都可以制作相同的cookie并获得他想要的帐户。我之所以使用cookie,是因为时间。我想在15分钟内创建活动的cookie,如果用户在登录时使用“记住我”,则cookie是活动的1 mounth。
我在JavaScript控制台中粘贴的代码和创建引擎创建的相同的cookie:
document.cookie="userid=what username i want to use";
那我怎么解决这个问题呢?什么是最安全和最好的方式来做这个cookie /会话?
感谢您的帮助!
答案 0 :(得分:0)
用户登录通常由PHP会话处理,因为它的服务器端是无用户可以更改服务器上的数据。您的问题实际上是如何识别回到该网站的用户。
默认情况下,如果您使用PHP启动会话,则会生成一个名为PHP_SID的cookie,其中包含一个唯一的哈希值,通过手动更改它实际上是无法猜测的。重复的可能性非常低,以至于每个用户的独特性。
如果您希望改进该安全性,可以检查用户browser-user-agent,看它是否与之前访问您网站的内容相符。
既然您拥有特定的用户ID,您的会话数据将自动加载,并且您的PHP用户数据可以在您的网站上打印出来。