如何避免cookie伪造?

2011-06-04 13:55:12 +08:00
 supersheep
我用的php,初学者的做法一般就是
这样设置

setcookie('username','xxx',time()+3600*24);
setcookie('password','xxx',time()+3600*24);

再这样读取

$logged = false;
$username = @$_COOKIE['username'];
$password = @$_COOKIE['password'];
if(isset($username)&&isset($password)){
$logged=true;
$user = getUser($username,$password);
}

这种做法的话用户名和密码就都是明文保存在本地的,不安全对吧。
那我可以加密后再保存到cookie里,登陆的时候再在后台程序里解密,加解密的方法只有我自己知道。
这样是可以避免用户名密码泄露,但是要通过cookie伪造登陆应该还是很方便。
我想知道后者一般是如何避免的?谢谢指教。
14113 次点击
所在节点    PHP
26 条回复
reus
2011-06-04 18:09:26 +08:00
我也是用python来做php的代码生成器..
supersheep
2011-06-04 18:13:10 +08:00
@reus 平时js写得比较多,一到php里发现不能把函数当参数传,函数返回数组不能直接用[]引用什么的就觉得很不爽……
lijia18
2011-06-04 18:27:46 +08:00
伪造是挡不住的,唯一靠谱的方法是随机一个字符串。
reus
2011-06-04 18:48:14 +08:00
@supersheep 是啊,语言那是相当的不现代…
walleve
2011-06-04 18:53:56 +08:00
不用就是最安全的。

建议直接数据库存储cookie/session
supersheep
2011-06-04 19:32:08 +08:00
@Livid 写着写着又有不明白了,ua和ip的信息应该已经隐含在cookie里了,为什么还要在数据库里存一份呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/13993

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX