检查用户是否已登录

时间:2015-03-16 16:15:56

标签: php cookies

我刚刚发现我的登录系统绝对没有安全保障。

所以我想到了一些事情:

  • 用户尝试登录。
  • 我检查数据库中是否有哈希(密码)=数据库中的密码哈希值。
  • 如果没问题,我设置一个像这样的cookie:
setcookie ("pseudo", $_POST['pseudo'], time() + 36000);
  • 然后,在每个"成员"页面,我检查用户是否登录:
if (isset($_COOKIE['pseudo']))

但我不明白的是,任何人都可以创建一个名为pseudo的cookie ...这是否意味着我应该将密码存储在cookie中并检查每个"成员"页面数据库?

1 个答案:

答案 0 :(得分:2)

您必须使用会话及其变量,它们存储在服务器上,因此用户无法更改其值。

阅读本文:http://php.net/manual/en/intro.session.php

而且:http://php.net/manual/en/session.examples.basic.php

如果您的连接正常,请创建一个会话(在连接用户时执行您想要执行的任何操作)。

相关问题
最新问题