标签: php cookies
在我的网站上,登录后,我客户的用户名get存储在cookie中,该cookie在15天后过期,每当他返回我的网站时,我添加了一个php代码,用于检查1)他们是否拥有cookie 2 )是有效的用户名。我也使用哈希密码进行了同样的操作,但是被告知这很危险,我应该使用密码删除它。现在,任何人都可以将Cookie的值更改为另一个用户名。解决此问题的安全方法是什么?我应该添加/删除什么?毕竟,存储散列密码是否很危险?任何帮助将不胜感激。
答案 0 :(得分:0)
我不确定您是否完全熟悉“会话”的概念。通常,将敏感信息存储在Cookie中非常危险。通常,最好将会话ID和会话信息存储在数据库中(例如,Redis是键值数据库,通常是会话缓存的不错选择)。对于每个请求,中间件代码都会拦截HTTP请求,检查cookie中的会话ID,并检查数据库是否有效。不确定您正在使用什么框架,但是最流行的PHP是Laravel和Symfony。至于密码,请确保使用 bcrypt 算法,该算法相对较慢,因此强行使用密码对于攻击者而言不是有效的选择。