台灣最大程式設計社群網站
線上人數
1811
 
會員總數:246274
討論主題:189809
歡迎您免費加入會員
討論區列表 >> PHP >> 請教一下有關登入頁製作
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
請教一下有關登入頁製作
價值 : 60 QP  點閱數:1468 回應數:5
樓主

阿德Sky
門外漢
0 6
126 10
發送站內信

捐贈 VP 給 阿德Sky
事情是這樣的,小弟想製作一個系統
目前我自己的疑問在於(1)如何使用session與cookie混合使用製作
而不會導致有安全性相關的問題,我自己會使用session製作登入頁
但是用混合的方式,似乎問題也挺多的,目的是要能夠登入,並能夠讓使用者選擇登入時效
能夠誇頁籤與新開瀏覽器紀錄已登入的帳號
(2)session該存哪些資訊 cookie該存哪些資訊,才不會有安全性問題
(3)在次瀏覽時該如何判斷是否有登入過(session or cookie),或者儲存時效未過
以上是小弟概念還沒釐清的疑問,希望大大能夠幫小弟解惑!

搜尋相關Tags的文章: [ PHP ] , [ 登入 ] ,
本篇文章發表於2011-05-07 03:04
1樓
不錯的參考

溫子
捐贈 VP 給 溫子 檢舉此回應
當cookie被複製走考慮再多都是沒用的前提下...

你能做的只有兩件事情,cookie內容物的編碼,基礎上不要是明碼就好,
以及資料庫紀錄規範這個cookie上次建立的時間,在一個你認為可接受的時間範圍內,
允許某個IP所用的cookie資訊為信任...

如時間範圍外,因使用者還在系統中使用,檢查其session id是否與前次紀錄相同,
如相同再次授權其cookie使用時間到下個檢查點...
本篇文章回覆於2011-05-07 14:51
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

阿德Sky
捐贈 VP 給 阿德Sky 檢舉此回應
那請問一下如果紀錄來源IP(假設都在時間範圍內)
那跟自動登入有甚麼作用
因為如果使用者因為特殊原因導致斷線重新連線,當然IP也換了
這時候記錄的IP也不就不成立了嗎??
本篇文章回覆於2011-05-08 02:37
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

溫子
捐贈 VP 給 溫子 檢舉此回應
紀錄IP只是確認這個cookie是合法來源的~~

當然不成立!!

這就要問你自己了,信任cookie比較多,還是session & DB 比較多,
溫子也一開始就說明了"當cookie被複製走考慮再多都是沒用的前提下..."
也就是溫子不信任cookie的情況下!!

說到這裡就要問樓主你所謂的時間範圍是多久,如果超過一天以上,那就忘掉溫子說的吧!!
本篇文章回覆於2011-05-09 01:57
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
最有價值解答

浩瀚星空
捐贈 VP 給 浩瀚星空 檢舉此回應
一般要做到自動登入。就只能利用COOKIE。
當然了~~~用了COOKIE。如果如溫子所說的。COOKIE被人家COPY走那就是再其它電腦也是可以登入。
確實有一定的危險性。

為何會有這自動登入。一般我們能考量的。就是希望能將帳密存在客戶本機上。這樣每一次上來就不需要再登入一次。

也有一種作法。就是只用COOKIE記錄相關的KEY值。然後其它的相關驗証資料就存在伺服端上。
當用戶又再次來到你的網頁。就先取得他本機中的COOKIE的儲存KEY。然後再從伺服器中帶入其它的認証資料。之後再將KEY值再變更一次。
這樣可增加少許的安全性。(至少人家真的COPY到客戶的COOKIE,也可以確保在一定時間內會被更換)
本篇文章回覆於2011-05-09 16:05
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
作者回應

阿德Sky
捐贈 VP 給 阿德Sky 檢舉此回應
恩~~
感謝兩位大大的指導
小弟有個底了~~~
本篇文章回覆於2011-05-14 00:51
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.