在PHP中维护用户登录的建议？

That is, once the login credentials are checked and verified, what happens next so that on subsequent page loads (and page visits from other already logged-in sessions) the visitor is securely confirmed to be valid and logged in?

Should one use a mix of $_COOKIE and $_SESSION? What specifically is stored in either so as to be secure?

Do you confirm both or just one (if so, which) against the DB on each page load?

The best guides I can find are at 8 and 10 years old:

http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice

http://jaspan.com/improved_persistent_login_cookie_best_practice

surely there is something more current that I am just unable to find?

Any guidance would be supremely appreciated.

Thanks kindly

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dpdhnd3577 2014-08-13 19:23
关注
The most common way to keep track of whether or not a user is logged in is to use a session variable, and check that the session variable is set at the beginning of each script that only should be accessed by users that have previously logged in.

Having said that, there are a number of potential vulnerabilities that you should be aware of (such as session hijacking attacks and cross-site scripting attacks), and you should code accordingly to make sure that you site is not vulnerably to these types of attacks. For instance, the cookies used to keep track of the session should be sent over https only, and should not be accessible to client-side scripts. Regenerating the session every time the users privileges are elevated, to prevent session fixation, is also a good measure.

The article below also has some good information: http://www.wikihow.com/Create-a-Secure-Login-Script-in-PHP-and-MySQL

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

如何在PHP中为管理员和用户分别登录？ php
2017-02-25 06:37

回答 1 已采纳 In both function change $count < 1 to $count == 1 If in DB it matches a record and have
关于php的session问题，解决用户登录？ php
2017-12-01 16:07

回答 1 已采纳 session存用户id就可以。别的信息可以随时根据id去数据库取。 session在服务器上占用内存。每个用户存的数据越多，系统能同时并发处理的用户就越少。
如何在PhpSpreadSheet中设置货币格式？ php
2018-09-11 18:12

回答 3 已采纳 I couldn't do it with PHPSpreadSheet. In case someone runs with the same problem, this is what I d
PHP+MYSQL实现简单的用户注册登录功能
2020-12-21 19:10

vimtion的博客有必要用一下php+mysql实现一下这个“最基础”的用户功能，（虽然开发可能会用后端云）基础结构 html+css+JavaScript作前端渲染； php作为后端，mysql作为数据库。在这里暂时不涉及到安全问题（比如验证码和token...
如何计算用户在PHP中连续登录的次数 php
2016-04-08 19:51

回答 2 已采纳 You should add a consecutiveDayCounter and a lastDayConnected row in your user table. In your SE
如何在php中设置印度标准时间？ php sql
2018-01-30 06:36

回答 5 已采纳 Set default timezone to India in the starting of the php code date_default_timezone_set('Asia/Kol
如何在PHP中实现相同的签名生成？ java php
2018-11-15 14:09

回答 2 已采纳 I think the PHP official document is very clear: http://php.net/manual/en/function.openssl-csr-new
【PHP教程（二）】php登陆验证（附代码）
2023-02-13 14:38

Almond_02的博客可以使用 PHP 创建登录...这些功能允许您安全地存储和验证用户凭据，并在用户与您的网站或应用程序的交互过程中维护用户会话。还有许多 PHP 框架和库可用，提供预构建的登录系统功能，使您更容易在项目中实现登录功能。
如何在当前启用的PHP版本中安装imagick？ apache debian php
2019-07-30 21:24

回答 1 已采纳 Debian 10 uses PHP 7.3 as its "standard" PHP version, so all of its PHP extension packages -- incl
如何在PHP中正确打印对象内容？ laravel php
2017-01-30 10:30

回答 3 已采纳 You want to use var_export - here's the docs \Log::info('USER: ' . var_export($user, true)); Wi
如何在PHP中读取控制台/用户输入？ php
2014-05-13 03:02

回答 1 已采纳 I think you are looking for the readline function $number = readline("Enter a number: "); echo 'Y
基于PHP学生信息管理系统设计与实现开题报告
2022-11-19 08:10

黄菊华老师的博客基于PHP学生信息管理系统设计与实现开题报告
如何在php中读取多级json的值？ json php
2018-02-17 21:53

回答 3 已采纳 The JSON contains an array of one element, so to access provider_id and nro_chart, get the first e
PHP 基础
2020-12-24 10:03

笨小孩@GF 知行合一的博客自20世纪90年代国内互联网开始发展到现在，互联网信息几乎覆盖了我们日常活动所有知识范畴，并逐渐成为我们生活、学习、工作中必不可少的一部分。据统计，从2003 年开始，我国的网页规模基本保持了翻番的增长速度，...
编程语言学习笔记-架构师和工程师的区别，PHP架构师之路
2023-08-18 21:03

黑夜开发者的博客什么是架构师，如何成为一名架构师，架构师的职责是什么，架构师和工程师的区别在哪里？非常开心能够参加本次官方推荐的【我的编程语言学习笔记】活动，也能将我多年压箱底的东西分享出来给到大家。将我整理的PHP...
没有解决我的问题, 去提问

悬赏问题

¥20 win11修改中文用户名路径
¥15 win2012磁盘空间不足,c盘正常，d盘无法写入
¥15 用土力学知识进行土坡稳定性分析与挡土墙设计
¥70 PlayWright在Java上连接CDP关联本地Chrome启动失败,貌似是Windows端口转发问题
¥15 帮我写一个c++工程
¥30 Eclipse官网打不开，官网首页进不去，显示无法访问此页面，求解决方法
¥15 关于smbclient 库的使用
¥15 微信小程序协议怎么写
¥15 c语言怎么用printf（“\b \b”）与getch（）实现黑框里写入与删除？
¥20 怎么用dlib库的算法识别小麦病虫害

在PHP中维护用户登录的建议？

1条回答 默认 最新

悬赏问题

1条回答默认最新