作者GALINE (天真可愛CQD)
看板PHP
標題Re: [請益] PHP驗證帳號的方式
時間Wed May 25 15:18:49 2016
> 推 GALINE: 不要把登入/帳號資訊放在 cookie 裡面,只存session id
> → GALINE: 登入後的權限放在session裡面不讓client碰
> session id該怎麼寫QQ 有教學嗎?
簡單的答案:
別管 cookie,跟他分手,不要用它。
程式開始前先呼叫 session_start(),然後把資料都存進 $_SESSION,不要存 cookie。
登出的時候記得把 $_SESSION 裡面對應的參數全部清掉。
-----------------------------------------------
稍微詳細一點的回答:
關於 session,可以想成是 PHP 對於每一個使用者都在 server side 都開一塊空間存
個人資料。你可以在 session 裡面放「這人登入的帳號是啥,權限是啥」...之類
的東西。因為在 server 上所以使用者碰不到,不能自己修改
寫資料進 $_SESSION 這個 super global 就等於是寫資料到 session 裡面。
如果 session 被啟用,這個變數裡面的資料會一直留著,直到 session 放太久過期
在使用他之前你需要呼叫 session_start(),除非機器有設定自動 session start
但是每個 HTTP request 都是等價的,我要怎麼知道哪個 request 是誰?
答案是 PHP 會發給每個人一個臨時身份 ID,也就是所謂的 session id。例如:
小明進站 -> Server 發給小明 ID 是 1
小桃進站 -> Server 發給小桃 ID 是 2
之後小明跟小桃的每一個 request 都會帶著 session id
server 只要看到 session id 是 1 就知道那是小明, 2 就是小桃,3 就是有人來亂...
session id 通常會放在 cookie 裡面,所以每次 request 都會自動帶給 server
這一段 PHP 會幫你做掉,你不用(也不該)自己對 cookie 動這一段手腳
當然,對於有能力的使用者他可以亂改 cookie 裡面的 session id
但是除非他知道其他人的 session id,不然他亂改只會讓自己被登出
另外,現實生活中的 session id 不會是 1/2/3,而是
ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng
這樣一大串,所以要猜也不是那麼好猜到,除非你面對的人超厲害...
假設你一切做對,那麼 cookie 裡面只會剩下一堆亂七八糟的ID
沒辦法從 cookie 裡面找到帳號密碼或權限...之類的資料
cookie 也不是完全不能用,只是以「登入」來說不該用...
-----------------------------------------------
這只是初階,更多 cookie 跟 session 的安全性討論可以看這篇文章
http://devco.re/blog/2014/06/03/http-session-protection/
如果看不懂...就...表示你還沒有能力擔心到這塊,慢慢學吧...
--
莉娜用魔法爆破進入屋內。
劫犯從另一個房間裡出現,大叫道︰「妳是誰!」
莉娜︰「我是個可疑的女人!」
劫犯無言以對。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.122.206
※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1464160732.A.262.html
※ 編輯: GALINE (60.248.122.206), 05/25/2016 15:19:37
※ 編輯: GALINE (60.248.122.206), 05/25/2016 15:21:16
推 Neisseria: 推 05/25 15:21
推 shadowjohn: 下一步就多站台共享session path、memory share... 05/25 15:27
推 wilson200106: 下一步Redis(咦 05/25 15:48
推 shadowjohn: 應該是又全部打掉重寫,然後又換別人問這個問題XD 05/25 16:25
→ GALINE: Redis 好用,不過 scale out 很麻煩... 05/25 16:28
推 HwangTW: 謝謝指教 05/25 16:57
推 LMGG: 認真講解給推 05/25 20:59
推 GuYueHu: 請問通常用session作帳號登入的部份會設timer嗎 05/27 08:51
→ GuYueHu: 還是放到session自動timeout? 這樣會有安全疑慮嗎 05/27 08:51
→ GALINE: 看...需求?我是一下沒想到什麼情況會需要登入跟session 05/27 12:46
→ GALINE: 的 timeout 時間要不一樣就是了 05/27 12:46
推 j355066: 推 05/27 14:55
推 imhaha: 借問一下~cookie可以個別設定到期的時間,session似乎沒 05/28 01:53
→ imhaha: 辦法做到這點,只能全數清除對吧(? 05/28 01:53
→ GALINE: 有「自己紀錄expire time」這招,每次讀值都檢查一次... 05/30 11:05