草庐IT

rack_cookie

全部标签

php - Cookies/ session 登录系统

当用户登录时,我得到他/她的ID并将其保存在session变量中。我想知道的是,这是要走的路吗?还是我应该使用cookie?所以它会自动登录等等。session_start();ifcorrectlogin{$_SESSION['id']=mysql_result($loginQuery,0,'user_id');}您如何验证您的用户?//新手 最佳答案 是的,这是要走的路。session本身已经由cookie支持,以消除您围绕它进行的任何编程工作。只要用户打开浏览器实例,session(实际上是cookie)就会一直存在,或者直到

php - 如何防止 Javascript 访问 PHP cookie 数据?

(取自求职面试)以下哪些答案是正确的?设置cookie时使用httponly参数用户必须关闭Javascript支持是浏览器中的cookie设置只有发布域可以访问cookie一个在客户端,一个在服务器,所以这不是问题 最佳答案 设置cookie头时,可以指定httpOnly。这可以通过PHP的setcookie函数来完成:setcookie($name,$value,$expire,$path,$domain,$secure,$httponly)httpOnly指示浏览器不允许JS访问cookie。

php - https 安全 cookie 是否可以防止 XSS 攻击?

https连接是否保护cookie并防止XSS攻击。我有一个简单的博客,允许用户输入JavaScript代码作为输入。我想允许用户输入Javascript,同时仍然防止XSS攻击和cookie窃取。https是否有助于保护cookie。我只发现很少有网站在谈论这个,但仍然有点不清楚。 最佳答案 HTTPS可以防止中间人攻击,但不能防止XSS。不幸的是,仅凭此sessioncookie并不安全,可以使用HTTP请求页面,然后相同的cookie将不protected地发送。要确保sessioncookie仅在HTTPS连接上发送,您可以

php - 取消设置 cookie php

我在登录检查正常时设置了这段代码:if((isset($_POST["remember_me"]))&&($_POST["remember_me"]==1)){setcookie('email',$username,time()+3600);setcookie('pass',$pass,time()+3600);}现在,当我点击注销链接(logout.php)我这样做了:我没有使用destroysession因为我不想销毁所有session....现在销毁session工作正常...但是当我尝试取消设置cookie时,浏览器(所有浏览器:explorer、chrome、firefox、

php - 在句柄关闭之前必须调用 curl_close() 两次,并且可以读取 cookie jar。这是一个错误吗?

几个小时以来,我一直在用头撞墙,试图理解为什么在我尝试读取cURL的cookiejar文件时它是空的。我刚刚发现,如果我调用curl_close()两次而不是一次,我的代码就可以工作,但是,我想知道这是否是cURL的错误。这是一个例子:curl_close($chInfo['handle']);var_dump(is_resource($chInfo['handle']));输出booleantrue。因此,换句话说,句柄没有关闭,尽管我调用了curl_close()。我的下一个想法是,关闭句柄可能需要一些时间,所以我尝试在curl_close()之后使用sleep()几秒钟调用,但没

php - 在 cURL 中使用窃取的 cookie 绕过 CSRF

我必须处理一个网页。本网页基于YII框架,登录页面受CSRFtokens保护。当我通过POST方法传递登录凭据时。我收到error400和TheCSRFtokencouldnotbeverified消息。我不知道如何绕过这种保护。我不明白这个机制。当我通过Chrome浏览器登录时,我看到了POST消息的样子。它有4个参数:CSRFkey、登录名、密码、一个空变量。浏览器如何获取正确的CSRFkey以进行打磨?我有这个网页的登录名和密码,我可以作为普通用户登录。只有登录页面受到CSRF保护。我可以在正常登录时使用浏览器创建的cookie(如何操作),将此cookie提供给cURL并开始处

php - 使用 PHPUnit 测试 cookies 和 session,怎么样?

使用PHPUnit可以很容易地测试原始PHP代码,但是严重依赖cookie的代码呢?session可能是一个很好的例子。有没有一种方法不需要我在测试期间使用数据设置$_COOKIE?这感觉像是一种怪异的做事方式。 最佳答案 这是代码的一个常见问题,尤其是滞后的PHP代码。常用的技术是进一步抽象相关对象中的COOKIE/SESSION变量,并使用控制反转技术将这些依赖项拉入范围。http://martinfowler.com/articles/injection.html现在,在执行测试之前,您将实例化Cookie/Session对象

php - Cookie 与基于 Session 的 flash 消息

我在CakePHP中发现的一个巧妙的功能是能够设置flash消息,比如在一些save脚本上,然后在下一页上显示该消息。类似于发布更新或错误-找不到文件。Cake的方法是使用这个session对象。我试图避免像瘟疫这样的session,因为它们对可伸缩性有奇怪的要求。我可以不只是将flash消息存储在cookie(客户端)中,然后在它显示在下一页上后删除该cookie吗?这种方法的优点/缺点是什么——或者更简单地说,为什么Cake使用session(我假设这与_SESSION集合有关)。干杯!附注在我的实现中,我还使用javascript中的setTimeout命令使其淡出。我发现这是结

php - 登录系统的 cookie 中应该存储什么?

为了保持持久的登录状态,最好在cookie中存储什么?我见过许多网站(和新手教程!)只是将诸如validUser=1之类的内容存储在cookie中。很明显,我可以对此进行欺骗,网站会认为我是有效用户。如果用户名存储在cookie中,我可以通过在我的请求中发送带有他/她的用户名的cookie来伪装成任何用户。因此,如果您在cookie中存储用户名和密码,那么我必须知道用户名和密码才能登录。实际上,用户是自动登录的——这就像通过保存密码一样他的浏览器。浏览器不必每次都自己将凭据键入框中,而是在每次页面请求时自动发送它们。但这仍然是个坏主意吗?存储纯文本密码不是一个绝妙的主意,但这就是登录时

php - 检测是否在 PHP 中启用了 cookie

我正在尝试检测我页面上的用户是否启用了cookie。以下代码执行检查,但是,我不知道如何将用户重定向到他们来自的页面。该脚本启动一个session并检查它是否已经检查了cookie。如果没有,它会将用户重定向到测试页面,并且由于我在第一页中调用了session_start(),如果用户代理启用了cookie,我应该会看到PHPSESSIDcookie。问题是,这个脚本可能会从我网站的任何页面调用,我必须将他们重定向回他们选择的页面,比如index.php?page=news&postid=4。session_start();//Checkifclientacceptscookies//