我使用$ _SESSION的常用方法来验证登录的成员;但建议不要将$ _SESSION ['ID']与简单的数字ID一起使用,因为它可以伪造。我正在考虑分配一个临时访问令牌(类似于facebook),然后在成功登录后将其存储在用户的mysql行中。然后,当用户想要编辑他的个人资料时
if ($_SESSION[access_token] = ACCESS TOKEN (captured from mysql)) {edit profile}
这个系统的缺点是每次登录时我们都需要一个mysql写查询;但我认为安全性非常高。当然,我需要INDEX访问令牌列。
这是一种实用的方法吗?在这种情况下,我是否需要改进?