我的网站没有用户注册(会员从离线数据库中获取),您可以登录的区域不包含非常敏感的信息。
所以我想要一个记住我的基本登录功能。
•在检查数据库的输入后,我计划将他们的user_id, name, email存储在会话中。
•为了记住我,我会存储一个值为user_id:randomcode的cookie。随机代码在登录时生成,并存储在其用户记录的字段中。
这足够安全吗?或者如何在不太复杂的情况下改进它。
答案 0 :(得分:2)
您应该只使用user_id:randomcode一次,并在使用旧版本时生成一个新版本。阅读Persistent Login Cookie Best Practice。