作者HwangTW (谷歌翻譯王)
看板PHP
標題[請益] PHP驗證帳號的方式
時間Wed May 25 11:47:12 2016
因公司接觸到aspx,而我也發現這東西只要有最高權限的GUID(固定)
即使在無痕模式下也能直接登入
PHP有沒有辦法可以防範這種GUID攻擊方法(我想寫的,與公司aspx無關)
例如在我的網站下以 index.php 為登入頁面 (以 www.example.com 為例)
網站之下的分支都得登入後才能觀看/操作的
即使直接輸入 www.example.com/test/test.php
1. 未經授權存取
直接轉到 www.example.com 待使用者輸入帳號後
在某個 iframe 顯示 www.example.com/test/test.php 的內容
2. 有授權存取
直接轉到 www.example.com 並在某個 iframe 顯示該內容
最後一個問題 cookie 該怎麼寫QQ
在此請教了
--
當你年輕的時候 你會覺得真愛無敵 麵包以後就會有
當你中年之後 你會發現真愛很重要 所以他需要麵包來保護
--文章代碼(AID):
#1LOyQl47 (Gossiping) 作者:
yasaq
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.80.67
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1464148035.A.1F0.html
推 GALINE: 不要把登入/帳號資訊放在 cookie 裡面,只存session id 05/25 12:14
→ GALINE: 登入後的權限放在session裡面不讓client碰 05/25 12:14
session id該怎麼寫QQ 有教學嗎?
→ MOONRAKER: 不是session id是session 你有聽過google嗎 05/25 13:36
SORRY 那時候才剛碰(?
剛剛嚼了好多文章(滾滾
推 wilson200106: 做session,然後做個function判斷登入,塞在header 05/25 14:46
→ wilson200106: if(!is_login()) { } 類似這樣 05/25 14:46
function判斷登入...我好像還沒那麼高等orz
※ 編輯: HwangTW (220.133.80.67), 05/25/2016 16:59:24
→ xdraculax: cookie 保持登入還蠻普遍的說 0.0 只是要存含IP編碼過 05/26 12:43
→ xdraculax: 的 05/26 12:43