我正在构建的站点的管理控制面板需要登录脚本。活动用户存储在一个mysql表中,但是一旦用户通过身份验证,我是否应该将该令牌存储为会话或cookie?哪个(如果有的话)更安全?用户登录会话与Cookie
回答
会议,绝对。它们存储在服务器上。 Cookies存储在客户端,用户可以轻松编辑。
,它们可以被捕获并用于控制来自“中间人”的用户数据...所以我同意.. – DonCallisto 2011-12-19 23:08:05
PHP中的默认会话处理程序仍然容易受到中间人攻击(因为会话实际上只是一个cookie)。规避它的最好方法是切换到HTTPS。 – Halcyon 2011-12-19 23:11:44
环节无非是服务器端的cookie在这个意义上,数据存储在服务器上的多。客户端仍然得到一个cookie,对于PHP而言(PHPSESSID
或类似的东西),这只是一个识别会话的数字。
使用会话的一些优点是,您不必随每个请求都传递数据,并且客户端不能“混淆”它。另外,在PHP中,您可以实现自己的会话存储机制,因此您不受限于任何会话大小限制,但这可能远远超出您的范围:P(session_set_save_handler
,请参阅PHP.net以获取更多信息) 。
- 1. 使用Cookie与会话进行登录
- 2. 使用Cookie与会话处理用户登录
- 3. PHP登录会话和cookie
- 4. Wicket会话与多个用户登录
- 5. 使用会话或Cookie进行登录
- 6. 使用cookie和会话登录php
- 7. Php用户登录会话
- 8. 用户会话和登录
- 9. 使用angular.js管理用户登录中的会话和cookie
- 10. Spring用户登录和会话劫持后的安全cookie
- 11. 以其他用户身份登录时丢失会话/ cookie
- 12. 会话vs cookie检测用户是否登录
- 13. 基本登录用户和会话加上cookie
- 14. 发帖形成,说用户没有登录,会话cookie存在
- 15. 登录会话cookie存储在Symfony中?
- 16. 烧瓶登录/会话没有cookie?
- 17. 网站登录并保持会话cookie
- 18. curl登录,两次传递会话cookie
- 19. 登录系统与会话
- 20. 会话与cookie
- 21. 用户用会话变量登录
- 22. 会话 - 登录查看用户数据
- 23. PHP:用户登录会话和cookies
- 24. 如何保持用户登录会话?
- 25. Laravel 5.2 - 登录和用户会话
- 26. 从会话登录的用户ID
- 27. 用户登录/会话系统描述
- 28. 会话丢失用户登录
- 29. PHP安全会话和用户登录
- 30. 会话登录的用户返回undefined
请阅读此:http://stackoverflow.com/questions/1221447/what-do-i-need-to-store-in-the-php-session-when-user-logged-in/1225668# 1225668 – 2011-12-19 23:07:33