【发布时间】:2011-03-14 05:07:19
【问题描述】:
安全验证用户身份的最佳方式是什么?
到目前为止,我在想:
- 为每次成功登录生成一个随机
$SALT,并将$logged = md5($hashed_password.$SALT)存入数据库;注销时删除。 - 将
$logged存储到cookie 中(如果用户选中“记住我”)。设置$_SESSION['user'] = $logged; - 访问时:检查是否设置了
$_SESSION['user'];如果没有,检查cookie,如果数据不匹配,重定向到login页面。
有什么风险?
【问题讨论】:
-
还有一个问题:如果用户删除了自己的cookies怎么办?
标签: php session authentication cookies