[請益] PHP驗證帳號的方式

作者: HwangTW (谷歌翻譯王)   2016-05-25 11:47:12
因公司接觸到aspx,而我也發現這東西只要有最高權限的GUID(固定)
即使在無痕模式下也能直接登入
PHP有沒有辦法可以防範這種GUID攻擊方法(我想寫的,與公司aspx無關)
例如在我的網站下以 index.php 為登入頁面 (以 www.example.com 為例)
網站之下的分支都得登入後才能觀看/操作的
即使直接輸入 www.example.com/test/test.php
1. 未經授權存取
直接轉到 www.example.com 待使用者輸入帳號後
在某個 iframe 顯示 www.example.com/test/test.php 的內容
2. 有授權存取
直接轉到 www.example.com 並在某個 iframe 顯示該內容
最後一個問題 cookie 該怎麼寫QQ
在此請教了
作者: GALINE (天真可愛CQD)   2016-05-25 12:14:00
不要把登入/帳號資訊放在 cookie 裡面,只存session id登入後的權限放在session裡面不讓client碰
作者: MOONRAKER (㊣牛鶴鰻毛人)   2016-05-25 13:36:00
不是session id是session 你有聽過google嗎
作者: wilson200106 (種子種子)   2016-05-25 14:46:00
做session,然後做個function判斷登入,塞在headerif(!is_login()) { } 類似這樣
作者: xdraculax (首席怪叔叔)   2016-05-26 12:43:00
cookie 保持登入還蠻普遍的說 0.0 只是要存含IP編碼過的

Links booklink

Contact Us: admin [ a t ] ucptt.com