我只使用会话变量$_SESSION['user_id']和$_SESSION['passwd']来存储用户登录时的id和密码。
每次用户移动到新的 php 页面进行身份验证时,我都会使用数据库检查这两个变量。其实我不知道session_id()。
我不认为我正在做的身份验证是正确的方法。我觉得session_id 需要做一些安全的事情。
还有一个疑问——当我按照我提到的方式使用会话变量时,这些会话变量是否很容易被破解
我该怎么办?
【问题讨论】:
您不需要在每次用户移动到新的 php.ini 时检查。
例如,一旦用户进行身份验证,请将 session_id 存储在 $_SESSION['session_id'] 中。之后,您需要做的就是检查是否设置了$_SESSION['session_id']。如果是,则表示用户已“登录”。
希望对你有帮助。
【讨论】:
只要不存在其他漏洞,攻击者就无法轻易更改或读取您的 $_SESSION 变量,但出于多种原因,在服务器上存储密码的时间过长通常是一种不好的做法。
用户登录时检查一次密码就足够了。之后您只需要在会话中存储经过身份验证的user_id即可。您必须知道会话属于谁,才能向该特定用户授予必要的权限。但是您确实已经知道用户提交了正确的密码,否则您一开始就不会将他的 user_id 存储在会话中。
【讨论】:
当然。$_SESSION['user_id'] 只是您需要的变量。
if (empty($_SESSION['user_id'])) {
die("access denied");
}
检查用户是否通过身份验证。
【讨论】:
您应该只对数据库进行一次身份验证,然后将结果存储在 $_SESSION 变量中。示例:
if ($user_and_pass_ok) {
$_SESSION['user_logged_in'] = true;
}
【讨论】:
对于基本身份验证,您存储用户 ID 的方法很好。 但是,当用户通过身份验证时,您不需要存储密码。
【讨论】: