使用$ _SESSION或$ _GET,PHP从MySQL表中提取用户信息?
我正在建设一个有趣的网站,我有一个问题,不知道在哪里寻找答案。
成功登录后,我正在用用户的电子邮件设置会话,然后使用它从MySQL中提取必要的数据。这样做有什么缺点吗?或者,将用户的电子邮件附加到网址会更好吗?
将用户的电子邮件存储在会话中有多安全?我想过哈希会话,但这也意味着它在注册/登录等时散列它,所以即使会话文件可以被查看,它会采取一些严重的黑客来获取电子邮件?
人们散列密码和电子邮件的普遍程度如何?真的需要吗?
为了授权目的,将任何个人信息添加到URL是一个坏主意。我会用用户的证书散列,用伪随机盐。
你应该真的唾沫哈希在最后密码第一次得到它的第一次 - 永远不会再使用明文的PW。
我哈希的密码,我问的用户电子邮件正在使用的会话反对将其附加到从MySQL表中获取数据的任务的URL。 – carlgcoder
不要这样做。这是一个简单的攻击媒介 - 我可以尝试一个可能的电子邮件地址列表,例如你的,并将在。 – ty812
那么去会议?我可以看到你的观点,谢谢:) – carlgcoder
如果您真的担心安全问题,可以使用SSL/TLS协议将您的页面作为https提供。这样,您就可以限制任何人对您的网络流量进行间谍活动的风险。密码通常以这种方式保护,电子邮件地址更少。你需要一个SSL证书并访问你的网络服务器的配置文件来做到这一点。 – Pete855217
使用框架不要重新发明* – max4ever
@ Pete855217:实际上,您只能降低一次间谍的风险,以了解正在传输的内容。 – Nobody