我正在制作一个我希望尽可能安全的登录脚本。问题是,安全似乎是一场永无止境的战斗。因此,从本质上讲,我正在寻找对我的想法的建议和改进。我拥有的是完全基于session的登录。只要session信息发生变化,就会调用session_regenerate_id()以避免明显的劫持尝试。当未设置session时,我会检查cookie以获取有效登录,如果成功,我会更新session。我尝试通过添加哈希值和一段唯一的用户信息(如用户名或ID)来保护cookie。这个散列由各种信息组成,包括用户名/id、无法破译的密码散列、部分IP地址等。通过从cookie中提取用户名/id,我可以从有效的用户信息
我正在制作一个我希望尽可能安全的登录脚本。问题是,安全似乎是一场永无止境的战斗。因此,从本质上讲,我正在寻找对我的想法的建议和改进。我拥有的是完全基于session的登录。只要session信息发生变化,就会调用session_regenerate_id()以避免明显的劫持尝试。当未设置session时,我会检查cookie以获取有效登录,如果成功,我会更新session。我尝试通过添加哈希值和一段唯一的用户信息(如用户名或ID)来保护cookie。这个散列由各种信息组成,包括用户名/id、无法破译的密码散列、部分IP地址等。通过从cookie中提取用户名/id,我可以从有效的用户信息
在我使用开发环境和语言的组合编写的应用程序中,我需要从两个不同的子域访问cookie,每个子域都在一个单独的主机上。正在使用随后的PHP代码在www.mydomain.com上设置cookie,我正在尝试从distant.mydomain.com访问它一个单独的主机。setcookie('token',base64_encode(serialize($token)),time()+10800,'/','.mydomain.com');我正在尝试使用以下代码从distant.mydomain.com访问cookie:if(isset($_COOKIE['token'])){/*dostu
在我使用开发环境和语言的组合编写的应用程序中,我需要从两个不同的子域访问cookie,每个子域都在一个单独的主机上。正在使用随后的PHP代码在www.mydomain.com上设置cookie,我正在尝试从distant.mydomain.com访问它一个单独的主机。setcookie('token',base64_encode(serialize($token)),time()+10800,'/','.mydomain.com');我正在尝试使用以下代码从distant.mydomain.com访问cookie:if(isset($_COOKIE['token'])){/*dostu
我正在尝试正确注销管理员用户。这是我的功能:functionlogout(){$_SESSION=array();//destroyallofthesessionvariablesif(ini_get("session.use_cookies")){$params=session_get_cookie_params();setcookie(session_name(),'',time()-42000,$params["path"],$params["domain"],$params["secure"],$params["httponly"]);}session_destroy();}基
我正在尝试正确注销管理员用户。这是我的功能:functionlogout(){$_SESSION=array();//destroyallofthesessionvariablesif(ini_get("session.use_cookies")){$params=session_get_cookie_params();setcookie(session_name(),'',time()-42000,$params["path"],$params["domain"],$params["secure"],$params["httponly"]);}session_destroy();}基
你们中的很多人可能都知道新的欧盟隐私法,但对于那些不了解的人来说,这基本上意味着欧盟居民公司运营的任何网站都不能设置归类为“对运营非必需”的cookie除非获得明确许可,否则访问者机器上的网站'。那么,问题就变成了如何最好地处理这个问题?浏览器显然有能力阻止来自内置特定网站的cookie。我的问题是,有没有办法使用JS或PHP做类似的事情?即拦截任何可能试图设置的cookie(包括第3方cookie,如Analytics或Facebook),并阻止它们,除非用户同意。显然可以在设置cookie后删除所有cookie,但是尽管这与一开始就不允许设置cookie是一样的,但我猜这在这种情况
你们中的很多人可能都知道新的欧盟隐私法,但对于那些不了解的人来说,这基本上意味着欧盟居民公司运营的任何网站都不能设置归类为“对运营非必需”的cookie除非获得明确许可,否则访问者机器上的网站'。那么,问题就变成了如何最好地处理这个问题?浏览器显然有能力阻止来自内置特定网站的cookie。我的问题是,有没有办法使用JS或PHP做类似的事情?即拦截任何可能试图设置的cookie(包括第3方cookie,如Analytics或Facebook),并阻止它们,除非用户同意。显然可以在设置cookie后删除所有cookie,但是尽管这与一开始就不允许设置cookie是一样的,但我猜这在这种情况
我只是在寻找关于新UKCookieLaw的一些建议以及它如何影响PHPsession。我知道当cookie是“绝对必要的”并且给出的示例是将商品添加到购物车时,您不需要用户选择加入。我正在使用类似的功能来记住您在联系表单中存储的内容,我认为这是session的绝对必要使用,因此不需要选择加入。然而,由于我有一个session_start();,所以我感到困惑。在每个页面的顶部,这意味着cookie是直接设置的。一些用户随后不会去使用联系表,因此这意味着cookie对他们来说并不是绝对必要的。我可以删除session_start();从每个页面的顶部开始,但是这个功能在很多网站中都有使用
我只是在寻找关于新UKCookieLaw的一些建议以及它如何影响PHPsession。我知道当cookie是“绝对必要的”并且给出的示例是将商品添加到购物车时,您不需要用户选择加入。我正在使用类似的功能来记住您在联系表单中存储的内容,我认为这是session的绝对必要使用,因此不需要选择加入。然而,由于我有一个session_start();,所以我感到困惑。在每个页面的顶部,这意味着cookie是直接设置的。一些用户随后不会去使用联系表,因此这意味着cookie对他们来说并不是绝对必要的。我可以删除session_start();从每个页面的顶部开始,但是这个功能在很多网站中都有使用
