标签: php security cookies
我正在尝试将密码存储在Cookie中。 Stackoverflow似乎推荐hash_hmac,但wordpress使用phpass?
从安全角度看应该使用哪些差异?
答案 0 :(得分:4)
这是一个非常糟糕的主意。您应该使用session_start(),它会为您完成所有操作,然后您可以使用$_SESSION来存储有关该用户的信息。如果您在数据库中存储密码哈希并将其用作cookie,那么您完全破坏了哈希密码的目的。攻击者可以使用sql注入来获取哈希,然后只需登录而不必破解哈希。
session_start()
$_SESSION