Più tardi stavo chiedendo come disconnettere correttamente un utente, ora vedo che usare solo i cookie per mantenere un utente loggato non è affatto sicuro.Qual è il modo corretto e sicuro per mantenere un utente connesso? biscotti? sessione? PHP && MYSQL
Mantenere la password in un cookie non è un metodo sicuro per farlo, quindi la mia domanda è, Qual è il modo corretto di fare (login/mantenere l'utente connesso) sul mio sito web?
Attualmente memorizzo l'ID utente che è lo stesso dell'URL che deve mostrare il profilo utente X e l'e-mail e la password crittografati in MD5.
Setcookie è l'unica funzione che utilizzo quando si accede correttamente. Uso solo le sessioni per memorizzare numeri casuali per evitare invii di moduli ripetitivi. campi nascosti.
• Potete mostrarmi come è il modo corretto e sicuro per farlo?
• Qual è il tuo modo di farlo?
Solo PHP. Due mesi in php, tutti appreso dalle tue risposte. Grazie
Non capisco. perché dovresti memorizzare la password in un cookie? Utilizzare le sessioni, non i cookie. Basta memorizzare un valore booleano in una variabile di sessione per verificare se un utente è connesso o meno. – Flukey
@Flukey: l'ID di sessione viene solitamente trasferito su un cookie. Può essere rubato proprio come una password che può essere rubata e l'utente malintenzionato dovrebbe accedere come te senza nemmeno dover digitare la password. –
possibile duplicato di [La Guida definitiva all'autenticazione basata su sito basata su moduli] (http://stackoverflow.com/questions/549/the-definitive-guide-to-forms-based-website-authentication) – eggyal