使用此登录脚本查找有关任何漏洞的一点输入。
第1步 - 提交用户名和密码的输入表单
第2步 - 验证后,我会将uniqid插入名为session
的DB中步骤3 - 为了验证用户是否已登录检查数据库
$user_decode_cookie = base64_decode($_COOKIE['cookiewithinfo']);
$cookie_implode = (explode('_', mysqli_real_escape_string($con, $user_decode_cookie)));
$sql = mysql_query("SELECT * FROM user WHERE username='{$cookie_implode[0]}' AND session = '{$cookie_implode[1]}'")or die(mysql_error());
$userinfo = mysql_fetch_array($sql);
return $userinfo;
第4步 - 使用username和uniqid
设置COOKIE要验证用户是否正确,我会收到COOKIE,并确保uniqid与数据库中的用户名匹配。
我在这里读了一下,并按照我的建议使用了会话。
我正在使用COOKIES以便在浏览器关闭后保存登录信息。
这是否接近于如何在某种程度上安全地完成,或者我出去吃午饭了。还要感谢任何输入。
答案 0 :(得分:1)
您的方法看起来相当安全。我唯一要改变的是保存md5(PK . $uniqid)而不是cookie中的$uniqid,这样即使使用僵尸网络和多年的尝试也几乎不可能暴力破解它。
PK只是您对脚本保密的任何简单密钥。您可以保持数据库不变,并在查询后验证PHP中的安全会话密钥,或者只是将相同的安全密钥直接存储在数据库中以保留当前查询。
请注意,您应该在参数上使用预准备语句以确保安全。