我正在开发一个基于PHP的登录系统.每个用户都有一个ID(一个数字)和一个密码,它被存储为盐渍哈希.
我能够确定登录是否成功,但现在我需要在某处存储该信息(以便用户不会永久注销).
在过去,我玩过$ _SESSION变量.但是,这些似乎在用户离开浏览器时被删除,这是不希望的.此外,我不能"假设"用户不会试图欺骗系统,因此它必须是安全的.
所以,这是我的问题:
$_SESSION或$_COOKIE?每种方法的主要优点是什么?请注意,在此特定问题中没有考虑数据库安全问题.
关于3号,我的意思是:
我想让我的网站尽可能安全但高效且用户友好.如果采用基于SessionID的方法,我也会对如何将其存储在数据库中的一些解释表示赞赏.
先感谢您
编辑:伊兰和布莱恩的答案似乎是我需要的.不幸的是,我只能将其中一个标记为已接受.我会尝试继续实施,看看哪一个更有用.
网站安全:用户登录新鲜或密码从cookie中提取并登录(如果煮熟的密码无效,则拒绝).+多次登录失败会导致拒绝.
密码是md5哈希并用随机数盐化.
我的问题是,这不合适吗?
我明白这不是很安全.有人可以访问用户的cookie,破解散列cookie,然后知道用户密码.
但是,它是否相当安全,并且在任何地方存储纯文本密码都是不道德的,这在某种程度上是不道德的吗?