记住密码自动登录原理

半醉人间 发布于 2013/05/27 09:52
阅读 3K+
收藏 3
PHP

网站登录的时候,记住密码自动登录是怎么做的。

是不是用cookie记住用户名和密码,然后去查找数据库?用户名和密码是加密?还是明文,怎么加密?

我的数据库密码是MD5的


但是cookie是可以修改的,这样子安全吗?

加载中
0
独孤小败
独孤小败

登录时,把数据以[用户名:时间:密码:key:id]形式加密 其中密码与key是单项加密

自动登录时,首先使用id与用户名加载用户信息. 然后把查询出来的密码与key再次加密,与上次结果比较 如果两次加密相等,则登录成功


http://my.oschina.net/8E58B088F8E88B48A5/blog/122123

可以看一下这篇

0
grath
grath
存在垮站脚本攻击,每一次的POST请求都会附带隐藏的随机信息,你查看网站的登录界面的html文本就会看到其他信息的。仅仅是加密是不够的(因为别人根本就不需要你的密码,利用加密后的东西同样可以)。
grath
grath
http://my.oschina.net/grath/blog/133796 随便写的,不是很严谨,html代码老是排版不舒服,仔细看那个 hidden 的地方哈
苏生不惑
苏生不惑
那请问你怎么处理的呢
0
Beyond-Bit
Beyond-Bit

MD5不安全,还需要盐值(用户名+密码)

一般都是cookie记住用户名和密码。可以设置禁止用户修改cookie,osc就这样做了!

eg:

PHP4
header("Set-Cookie: hidden=value; httpOnly");

PHP5
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
最后一个参数为HttpOnly属性


Beyond-Bit
Beyond-Bit
回复 @苏翰 : yeah
苏生不惑
苏生不惑
最后一个参数是禁止使用js获取cookie吧
返回顶部
顶部