我想知道以下代码的安全性如何:
if ($username == $user->username && $password == $user->password) {
$_SESSION['loggedIn'] = true;
$_SESSION['userId'] = $user->userId;
}
基本上,有没有人可以伪造SESSION变量(除了实际窃取用户cookie)?
答案 0 :(得分:1)
对我来说似乎很好。只是不要将密码或敏感数据存储在会话中以防有人窃取会话ID。我相信大多数安全风险都是在安全地获取服务器密码时发生的。
此外,您应该至少存储密码哈希值。制作它(假设使用sha1对$ user->密码进行哈希处理)sha1($password) == $user->password