Question

我正试图在营地建立系统标识。我有3份档案。指数.php,login.class.php (defineslogin category),securityPage.php。

伐木类具有不同的功能,如UserName()、AddUser()等。

指数。 php创立了一个新 $子,其形式为标志,并创建了一个新的账户表。

When you create an account on the index.php page, $login->addUser($username, $password, $first_name, $last_name, $email); function executes which creates a new account.

在您登录和点击之后,文字检查了用户名/密码/名称,并指示你确保Page.php。

之后,我从原木阶级.php转而安全。我不敢肯定,如果用户有正确的记录,而且所有用户都有信息手,那么检查的最佳方式是什么。

Right now my securePage.php creates a new login object $login = new Login; and checks if the user has access to the page by calling checkAccess within the Login class.

页: 1 如果用户能够进入该网页,则改用日志

if($login->checkAccess()) {
   //blah blah blah
}

检查工作如何在Login级进行。

public function checkAccess() {

    // check the session access
    if(isset($_SESSION[ username ]) ) {
        //
        return true;
    }

}

I feel this is bad implementation because a) I create a brand new login object and lose my data b) I only check if the session is secure by checking if session s username is set which can be probably faked.

什么是执行安全方案的最佳途径。 php涉及是否仍然有所有用户数据,以及是否对用户进行了记录?

Answer 1

届会数据是服务器侧数据——只能通过人工gues调来。 PHPSIONESSID http://segfaultlabs.com/files/pdf/php-session-security.pdf”rel=“nofollow”>here。

通常处理的方式是两种方式之一。如果正在使用吉大港定居地(具有一些重大利益,即BTW),那么基本上每当需要进行有保障的交易时,就必须对联合国/企业进行测试。另一方面,如果服务器储存价值(例如<编码>_SIONESS美元或其他一些框架等值),那么服务器已经拥有数据,而且重新定购没有任何意义。

如果您采用了和_wakeup。适当的是,你可以把整个日志存放在<代码>_SESSION上,这通常是我的偏好。

Answer 2

Your session is stored server side, and thus is a good way to check for a login status. There are some issues like f.e. account sharing but they shouldn t be a problem for the application you are developing.

I wouldn t be checking on the username though, I d add a key called authorised or something. also I d call the function isAuthorised instead of checkAccess, as checkAccess would indicate using user roles/rights to me.

友情链接