网站要实现找回密码功能,请有经验的同志们谈一谈,首先是必须很安全。
我现在的想法是,用户提交email和用户名,然后发邮件,邮件里面有随机生成的20位验证码,过期时间设为1小时,但是总感觉不太安全,只要知道用户名和email就可以修改密码了,怕就怕在发邮件可拦截了。。。。
[b]问题补充:[/b]
密码是MD5加密存储的,无法还原。
网站要实现找回密码功能,请有经验的同志们谈一谈,首先是必须很安全。
我现在的想法是,用户提交email和用户名,然后发邮件,邮件里面有随机生成的20位验证码,过期时间设为1小时,但是总感觉不太安全,只要知道用户名和email就可以修改密码了,怕就怕在发邮件可拦截了。。。。
[b]问题补充:[/b]
密码是MD5加密存储的,无法还原。
直接把密码发送邮件就好了呀 呵呵 发送的方式采用ssl的方式就行。