我是PHP的新手，我已经阅读了很多关于cookie和session的教程，但是我对一些事情不是很清楚:session值存储在服务器上，只有sessionID存储在用户计算机中。对吧？我可以建立一个永不过期的session，永远不会从服务器中删除并将sessionID保存在cookie中吗？如果是，怎么办？(请提供一些代码)在cookie中存储密码等数据不好，因为cookie不安全？对吧？黑客有可能使用另一个用户的sessionID创建cookie吗？黑客能否猜出session的sessionID，或者更糟的是，猜出每个sessionID的列表？对于可以记住用户的良好登录系统(用于用户拥

问题很简单，也很基础。我多年来一直在使用PHPsession，并且我总是以这种方式管理用户登录/注销:开始session(session_start()调用)。登录:在session中存储一个值(即$_SESSION["user_id"]=34)。检查用户登录:检查session值(即isset($_SESSION["user_id"]))。注销:销毁session(session_destroy()调用和unset($_SESSION["user_id"]))。这个方案对我来说适用于非常简单的应用程序，但现在我在一个更大的应用程序中工作，这个方法有点问题。例如，我无法在登录框中实现“

我正在为面向大学的网站设计一个网站，但在设计“忘记登录”序列背后的业务逻辑时遇到了一些麻烦。用户通过他们的大学电子邮件注册，因此如果他们忘记了密码，可以将密码通过电子邮件发送到他们的大学电子邮件。然而，问题是当用户不再拥有此电子邮件并尝试登录时，他们可以在大学毕业后返回。如果他们忘记了密码，则无法通过电子邮件发送密码，因为他们不再拥有此电子邮件地址。我的老板希望我实现一个系统来询问一些识别问题，例如名字/姓氏、出生日期和他们在初次登录时回答的“最喜欢的”问题。这对我来说似乎真的很糟糕，因为1)这是“希望它是”安全性，以及2)该网站拥有极其私有(private)的信息有没有人对此有任何想

我有一个用户可以登录的php站点。一旦他们提交了带有凭据的POST数据，他们就会被带到一个页面，该页面会启动一个session并检查database。在用户最终被重定向到站点后端之前，此过程需要很长时间。在此期间，用户站在空白的白页上。我想显示某种加载页面，但是当页面上有任何可打印的内容时，由于重定向，我收到了header错误。如何创建加载页面？我知道ajax是一种选择，但它是我唯一的选择吗？更新:PHP应用耗时长主要是因为每次登录都依赖国外的API需要授权以及计费数据需要查询。我不是想掩盖我可以轻松修复的东西，我是想创建一个更好的用户界面。登录过程大约需要10秒。

我为iOS客户端应用程序开发了一些网络服务，身份验证发生在客户端，他们通过发送用户fb_id和fb_authToken来“登录”到服务器，仅此而已。我不想只信任客户端应用程序，我想通过facebook验证该authToken是否有session，或者至少它是否属于指定的fb_id。我还没有看到关于PHP的任何示例/文档，只是关于进行实际登录。有什么建议吗？提前致谢。 最佳答案 这是个好问题。您永远不应该相信从客户端获得的任何东西，并且在尝试使用访问token之前永远无法确定它是否有效。当然，您不能相信他们是他们所说的userId。大

目前我正在将我的登录系统与RSA类(在PHP中实现RSA算法的类)连接起来。我已经阅读了有关该算法的一些信息，尽管我对此有一些疑问，希望有人能够澄清它们。RSA在两个key上运行-公钥和私钥，两者都是使用算法生成的。这些key是否仅生成一次然后包含到站点代码中(一个在管理员站点上，一个在用户站点上)？实现它的主要思想是在网站上让登录表单的login.php变成一个公钥代码，当发送登录名和密码进行验证时，用公钥加密它们。在服务器端，此消息将使用私钥解密并检查信息是否正确并发回真/假信息。你能告诉我它的使用安全和正确吗？ 最佳答案 只需

如果(为了争论)'admin-access'在php中被授予:if(isset($_SESSION['admin']))//thissessionwouldbeset{//grantaccess;}//afterasuccessfulloginelse{//redirect;}如果您知道session的名称(在本例中为admin)，这会不会特别容易绕过和伪造？换句话说，如果所有脚本都要求“设置”session，有人可以轻易伪造$_SESSION吗？ 最佳答案 使用isset()对安全性来说还不错。如何使用它取决于您的逻辑。如果您不仅

我有两件事需要在Cake2.2中完成。我需要检查每个页面上是否有人登录，然后我需要将他们的用户ID存储为名为UID的常量。我想避免在每个Controller上都必须检查用户。我希望它自动完成，所以我很自然地转到AppController并尝试BeforeFilter。它似乎没有初始化session，所以我从头开始尝试afterFilter，但是那(和BeforeRender)真的不是我想做的；如果他们没有登录，我不希望我可以阻止发生的任何事情发生在页面请求上。据我所知，引导也不是答案。那么我如何才能检查用户是否已登录，同时为我的应用程序的其余部分定义一个常量呢？

我正在一个网站上工作，我想让用户能够登录该网站。我是一名自学成才的开发人员，所以我不确定最佳做法是什么。我以前在我的java应用程序中使用过bcrypt，并在下面的密码php文件中实现了它(只有真正重要的行在类(class)结束后才出现)。到目前为止，我对登录系统唯一关心的是我使用的ajax是可见的，并显示正在运行什么脚本来检查密码。这仍然是安全的吗？如果不是应该怎么做。最后，在我的Password.php脚本中，我假设我应该制作一个cookie以允许网站知道哪个帐户已成功登录，但我如何确保这个cookie安全？我的代码在下面只是想知道这是否是一种危险的做事方式以及应该如何确保cook

此错误仅在网站上线时出现，https://www.sugarsync.com/pf/D7656891_67295915_916242但是在本地主机上这看起来没问题。https://www.sugarsync.com/pf/D7656891_67295915_916482我该如何解决这个问题？谢谢 最佳答案 只注释这一行$this->triggerEvent('onUserLoginFailure',array((array)$response));libraries/joomla/application/application.ph