【发布时间】:2013-05-02 11:24:00
【问题描述】:
我有一个慈善机构的小型内部网站,它是工作人员登录以访问文件和名单。尽管它仅适用于某些用户,但它位于网络上,因此是公开的,因此我仍在考虑安全性。我需要您对以下内容的意见,因为我不是很有经验。
当用户登录时,我总是存储两个 cookie。第一个是他们的用户 id,第二个是 cookie id,因此人们不能只更改用户 id 并登录,cookie id 需要匹配。它与每页的数据库进行比较。问题是 cookie id 只是一个随机数,PC 无需任何时间循环通过几十万个组合来为每个用户找到匹配的 ID。那么我该如何阻止呢? PHP的uniqid够好吗?
除了 SQL 注入(已经阻止)之外,我还应该考虑哪些其他攻击
谢谢
【问题讨论】:
-
这看起来可能对您的情况感兴趣:blog.teamtreehouse.com/how-to-create-totally-secure-cookies
标签: php security cookies login