首頁猿問我想知道一般是如何避免cookie...

我想知道一般是如何避免cookie偽造的？謝謝大家啦

PHP

開滿天機(jī) 2023-04-03 16:12:59

我用的php，初學(xué)者的做法一般就是這樣設(shè)置setcookie('username','xxx',time()+3600*24);setcookie('password','xxx',time()+3600*24);再這樣讀取$logged = false;$username = @$_COOKIE['username'];$password = @$_COOKIE['password'];if(isset($username)&&isset($password)){ $logged=true; $user = getUser($username,$password); }這種做法的話用戶名和密碼就都是明文保存在本地的，不安全對吧。那我可以加密后再保存到cookie里，登陸的時(shí)候再在后臺程序里解密，加解密的方法只有我自己知道。這樣是可以避免用戶名密碼泄露，但是要通過cookie偽造登陸應(yīng)該還是很方便。

查看完整描述

3 回答

智慧大石

TA貢獻(xiàn)1946條經(jīng)驗(yàn) 獲得超3個(gè)贊

你說的這種方法是最原始的方法，一般說來僅供學(xué)習(xí)cookie原理時(shí)使用，在實(shí)際的開發(fā)中一般是不會把密碼這種敏感信息直接以明文方式存放在cookie中的。

現(xiàn)在更通用的做法是使用session來標(biāo)識用戶，也就是說我們?yōu)槊總€(gè)客戶端生成一個(gè)唯一的id，然后在服務(wù)端存儲這個(gè)id所對應(yīng)的狀態(tài)。

這樣cookie里面僅僅保存了這個(gè)id，而沒有任何其他的東西。而且這個(gè)id往往還有個(gè)特性，它是隨機(jī)生成，且每次登陸都會產(chǎn)生一個(gè)新的。這樣就更降低了信息泄漏的風(fēng)險(xiǎn)。

在php里你可以使用以下代碼來啟用和調(diào)用session保存的值，因?yàn)樗鼈兌际潜４嬖诜?wù)器端，所以是安全的。

session_start();$_SESSION['username'] = 'xxx';$_SESSION['password'] = 'xxx';var_dump($_SESSION);

反對回復(fù) 2023-04-06

慕的地6264312

TA貢獻(xiàn)1817條經(jīng)驗(yàn) 獲得超6個(gè)贊

現(xiàn)在所有在http協(xié)議中的登陸都依賴于cookie，或者某個(gè)參數(shù)。這樣的話，你要保證的是cookie只有你能驗(yàn)證合法性，但不能解決cookie被盜引起的問題，當(dāng)然你可以在cookie中把ip信息加密進(jìn)去。但是這樣也會有一些問題，比如某些客服端的ip是經(jīng)常變換的。

反對回復(fù) 2023-04-06