我想使用用户唯一ID来保存Cookie - 这样我就知道哪个用户已登录,然后我可以更改其内容以适应。
我目前只是在创建新记录时使用常用的自动ID,但我听说过创建用户帐户(特别是当您要使用该ID更改内容时),您不应该这样做他们一个接一个地拥有它们;例如不是378,379,380等等,但更像是138462193,109346286,982638192所以它有点像一个随机的唯一标识符。
我将如何实现这一目标?
这是最佳做法吗?
答案 0 :(得分:2)
您可以保护您的数据免受using ACL的攻击,以限制哪个用户可以访问哪些(以及哪些数据)。用于在用户和数据之间建立所有权的外键关系,登录时session ID regeneration,CRSF tokens以防止通过其他站点的攻击,等等。
更不用说日志记录了,当事情出错时,能够找出出错的地方。
只有在非常的特殊情况下,您才需要担心用户的ID是连续的。大多数情况下,此ID通过网站本身可供其他用户使用。作为正常运营的一部分 因此,向用户ID添加随机元素不会带来任何虚假的安全感。即使你保持内部ID不同于"外部"面向用户的ID,只要您使用外部ID识别和更改内容,它与内部ID基本相同。在大多数情况下,只有使用双ID系统的正当理由是人类可读性。如果您不确定您的用例是否属于例外情况,则不然。
PS:我在评论中看到你说密码是加密的。希望你的意思是"盐渍和散列",更具体地说,使用password_hash ()及其associated functions。