我应该使用什么方法来保持登录我的用户,如谷歌的Gmail? (如果你愿意,你可以保持几乎无限的时间登录 - 保持登录功能 - 即使你的IP在会话期间改变了,gmail仍然可以识别你)。MySQL而不是PHP会话
PHP会话持续到浏览器关闭(或1440秒),即使使用session_set_cookie_parameters()
我不知道这是否是一种好的做法。我宁愿用MySQL
表代替。一个用于用户登录尝试,另一个用于会话,但我不知道该怎么做。
如何识别用户? IP不好,它可以改变,如果用户使用代理,该怎么办?我想要的只是使用安全和便捷的方式。
让我们暂时搁置Network Eavesdropping
和Cross-site Scripting
,我尽我所能来应对这些攻击。蛮力攻击将被拒绝使用登录尝试日志记录,我使用准备好的语句不能sql注入。
我的另一个问题是,如果我想要一个自己的登录系统,我该如何防止会话劫持?
会话令牌。但要小心,因为任何火焰守护者都可以使用它;使用HTTPS将解决这个问题。看看Twitter或Facebook做什么。 –