网站登录的时候,记住密码自动登录是怎么做的。
是不是用cookie记住用户名和密码,然后去查找数据库?用户名和密码是加密?还是明文,怎么加密?
我的数据库密码是MD5的
但是cookie是可以修改的,这样子安全吗?
登录时,把数据以[用户名:时间:密码:key:id]形式加密 其中密码与key是单项加密
自动登录时,首先使用id与用户名加载用户信息. 然后把查询出来的密码与key再次加密,与上次结果比较 如果两次加密相等,则登录成功
http://my.oschina.net/8E58B088F8E88B48A5/blog/122123
可以看一下这篇 ######存在垮站脚本攻击,每一次的POST请求都会附带隐藏的随机信息,你查看网站的登录界面的html文本就会看到其他信息的。仅仅是加密是不够的(因为别人根本就不需要你的密码,利用加密后的东西同样可以)。######http://my.oschina.net/grath/blog/133796 随便写的,不是很严谨,html代码老是排版不舒服,仔细看那个 hidden 的地方哈######那请问你怎么处理的呢###### MD5不安全,还需要盐值(用户名+密码)
一般都是cookie记住用户名和密码。可以设置禁止用户修改cookie,osc就这样做了!
eg:
PHP4 header("Set-Cookie: hidden=value; httpOnly");
PHP5 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 最后一个参数为HttpOnly属性
######回复 @苏翰 : yeah######最后一个参数是禁止使用js获取cookie吧
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。