[請益] PHP驗證帳號的方式

作者HwangTW (谷歌翻譯王)

看板PHP

標題[請益] PHP驗證帳號的方式

時間Wed May 25 11:47:12 2016

因公司接觸到aspx，而我也發現這東西只要有最高權限的GUID(固定) 即使在無痕模式下也能直接登入 PHP有沒有辦法可以防範這種GUID攻擊方法(我想寫的，與公司aspx無關) 例如在我的網站下以 index.php 為登入頁面 (以 www.example.com 為例) 網站之下的分支都得登入後才能觀看/操作的即使直接輸入 www.example.com/test/test.php 1. 未經授權存取直接轉到 www.example.com 待使用者輸入帳號後在某個 iframe 顯示 www.example.com/test/test.php 的內容 2. 有授權存取直接轉到 www.example.com 並在某個 iframe 顯示該內容最後一個問題 cookie 該怎麼寫QQ 在此請教了 -- 當你年輕的時候你會覺得真愛無敵麵包以後就會有當你中年之後你會發現真愛很重要所以他需要麵包來保護　　--文章代碼(AID): #1LOyQl47 (Gossiping) 作者：yasaq -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.80.67 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1464148035.A.1F0.html

推 GALINE: 不要把登入/帳號資訊放在 cookie 裡面，只存session id 05/25 12:14

→ GALINE: 登入後的權限放在session裡面不讓client碰 05/25 12:14

session id該怎麼寫QQ 有教學嗎?

→ MOONRAKER: 不是session id是session 你有聽過google嗎 05/25 13:36

SORRY 那時候才剛碰(? 剛剛嚼了好多文章(滾滾

推 wilson200106: 做session，然後做個function判斷登入，塞在header 05/25 14:46

→ wilson200106: if(!is_login()) { } 類似這樣 05/25 14:46

function判斷登入...我好像還沒那麼高等orz ※ 編輯: HwangTW (220.133.80.67), 05/25/2016 16:59:24

→ xdraculax: cookie 保持登入還蠻普遍的說 0.0 只是要存含IP編碼過 05/26 12:43

→ xdraculax: 的 05/26 12:43