php用户登录之cookie信息安全分析

php  /  管理员 发布于 8年前   167

本文实例讲述了php用户登录之cookie信息安全。分享给大家供大家参考，具体如下：

大家都知道用户登陆后，用户信息一般会选择保存在cookie里面，因为cookie是保存客户端，并且cookie可以在客户端用浏览器自由更改，这样将会造成用户cookie存在伪造的危险，从而可能使伪造cookie者登录任意用户的账户。

下面就说说平常一些防止用户登录cookie信息安全的方法：

一、cookie信息加密法

cookie信息加密法即用一种加密方法，加密用户信息，然后在存入cookie，这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用，无法另外伪造cookie信息。

这里附上一个加密函数：

 0) &&substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {      return substr($result, 26);    } else {      return '';    }  } else {    // 把动态密匙保存在密文里，这也是为什么同样的明文，生产不同密文后能解密的原因    // 因为加密后的密文可能是一些特殊字符，复制过程可能会丢失，所以用base64编码    return $keyc.str_replace('=', '', base64_encode($result));  }}$str = 'abcdef';$key = '';echo $jm = authcode($str,'ENCODE',$key,0); //加密echo "";echo authcode($jm ,'DECODE',$key,0); //解密?>

这样当设置用户信息的cookie时，就无法对其进行伪造：

$uid,"username"=>$username);$user = base64_encode(serialize($user));$user = authcode($user,'ENCODE','',0); //加密setcookie("user",$user,time()+3600*24);?>

二、用加密令牌对cookie进行保护

$hash = md5($uid.time());//加密令牌值$hash_expire =time()+3600*24;//加密令牌值为一天有效期$user = array("uid"=>$uid,"username"=>$username,"hash"=>$hash);$user = base64_encode(serialize($user));setcookie("user",$user,$hash_expr);

然后把$hash和$hash_expire 存入member表中hash和hash_expire对应字段中,也可以存入nosql，session

用户伪造cookie时，hash无法伪造,伪造的hash和数据库中的不一致

用户每次登陆，这个hash_expire有效期内不更新hash值，过期则更新

更多关于PHP相关内容感兴趣的读者可查看本站专题：《php curl用法总结》、《PHP运算与运算符用法总结》、《PHP网络编程技巧总结》、《PHP基本语法入门教程》、《php操作office文档技巧总结(包括word,excel,access,ppt)》、《php日期与时间用法总结》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

您可能感兴趣的文章:

• php同时使用session和cookie来保存用户登录信息的实现代码
• PHP根据session与cookie用户登录状态操作类的代码
• php使用cookie保存用户登录的用户名实例
• php中如何同时使用session和cookie来保存用户登录信息
• php中使用cookie来保存用户登录信息的实现代码
• php cookie用户登录的详解及实例代码