我正在用户帐号首次构建网站。我正在使用户登录安全的过程中。在注册时,我在保存密码之前对密码进行哈希处理,然后在登录时如果密码正确,我使用setCookie将用户信息保存到cookie中。将随机值作为会话“密钥”存储在表中是否安全?
现在劫持一个账户就像修改cookie值一样简单。我想让网站安全,但我正在阅读的大多数选项似乎太复杂了,我想用自己能做的事情。我已经阅读了一些教程,并对如何做到这一点有一个基本的想法,但不知道它有多安全。
我的想法是做一个表,会话和存储用户ID +随机值,保存一个cookie既和检查每一个页面加载对阵表两个值和更新他们,如果他们是正确的。这似乎很简单,即使用户从不同的地方登录,但仍然可以工作,但我不知道它有多安全。 Cookie将可见,但我没有看到任何劫持会话的方式,除非有人偷走了cookie并在更新之前使用它。
这种产品是否安全?我可以使用其他什么简单的方法?
如果有人偷了_that访问kind_给你数据库然后你拧任何一种方式。只需将cookie存储在数据库中,并确保数据库安全。 – noel
@pst,真的吗?它似乎违反了“一次使用的数字*”的定义。 –
@ElYobo我最初把“续约他们,如果他们是正确的”为价值的再生。 – 2012-10-23 04:13:38