मैं कोडिंग एक 'me' सुसज्जित लॉगिन फार्म, और अब तक ट्यूटोरियल मैं पढ़ा है याद के बीच में हूँ सब एक में एन्क्रिप्टेड पासवर्ड स्टोर करने के लिए कहते हैं (आंशिक रूप से यह सही यकीन है कि मैं कर रहा हूँ करने के लिए) उपयोगकर्ता नाम के साथ कुकी। फिर, प्रत्येक बार PHP जांचता है कि वर्तमान उपयोगकर्ता लॉग इन नहीं है, तो अपनी कुकीज़ जांचें और उन मानों को देखें। उपयोगकर्ता नाम पासवर्ड से मेल खाता है, तो आप कर रहे हैं।PHP "मुझे याद रखें" सुरक्षा दोष?
मेरे लिए, यह एक भारी सुरक्षा छेद है। अगर कोई डेटाबेस को हैक करना था या किसी भी तरह से एन्क्रिप्टेड पासवर्ड तक पहुंच प्राप्त करना था, तो उन्हें उन्हें क्रैक करने की भी आवश्यकता नहीं होगी। बस अपनी खुद की कुकीज़ सेट करें और जाओ। क्या मैं सही हूँ, या सिर्फ पागल हो रहा हूँ?
मेरा प्रवेश प्रणाली वर्तमान उपयोगकर्ता आईडी का ट्रैक रखने के सत्र का उपयोग करता है, और एक त्वरित/में लॉग इन के लिए एक 1/0 जांच लॉग आउट। उपयोगकर्ता AFAIK सत्र संपादित नहीं कर सकता है, इसलिए यह सुरक्षित है (यदि यह नहीं है, तो कृपया मुझे बताएं)। मैं सिर्फ एक कुकी में सत्र आईडी संग्रहीत करने के बारे में सोच रहा था, बाद में इसे फिर से शुरू करने के लिए, लेकिन यह भी सुरक्षित नहीं है।
मैं अपने उपयोगकर्ताओं की सुरक्षा की बहुत परवाह करते, मैं कैसे ठीक से, जबकि अभी भी कार्यशील वेबसाइट को बनाए रखने उनकी जानकारी की सुरक्षा कर सकते हैं?
मैं एन्क्रिप्टेड पासवर्ड स्टोर नहीं करता, केवल एक कुकी में user_ID जो एक्स दिनों में समाप्त हो जाता है। "संवेदनशील" क्षेत्रों (उदाहरण के लिए खाता/प्रोफाइल प्रबंधन) के लिए, यदि आप वैध $ _SESSION (जो आपको लॉगिन करते समय सेट करना चाहिए) के लिए लॉगिन करने की आवश्यकता हो सकती है। – JennyDanger
यदि आप कुकी में संग्रहीत करते हैं तो आप वर्तमान में सत्र आईडी कैसे संग्रहीत कर रहे हैं "सुरक्षित नहीं है?" –
@georgefox वर्तमान में, मैं किसी भी चीज़ में सत्र आईडी संग्रहीत नहीं कर रहा हूं, मैं बस इतना कह रहा था कि यह मुझे याद रखने की संभावना है। – Scott