[请益] PHP验证帐号的方式 HwangTW PTT批踢踢实业坊

[请益] PHP验证帐号的方式

楼主: HwangTW (谷歌翻译王) 2016-05-25 11:47:12

因公司接触到aspx，而我也发现这东西只要有最高权限的GUID(固定)
即使在无痕模式下也能直接登入
PHP有没有办法可以防范这种GUID攻击方法(我想写的，与公司aspx无关)
例如在我的网站下以 index.php 为登入页面 (以 www.example.com 为例)
网站之下的分支都得登入后才能观看/操作的
即使直接输入 www.example.com/test/test.php
1. 未经授权存取
直接转到 www.example.com 待使用者输入帐号后
在某个 iframe 显示 www.example.com/test/test.php 的内容
2. 有授权存取
直接转到 www.example.com 并在某个 iframe 显示该内容
最后一个问题 cookie 该怎么写QQ
在此请教了

作者: GALINE (天真可爱CQD) 2016-05-25 12:14:00

不要把登入/帐号资讯放在 cookie 里面，只存session id登入后的权限放在session里面不让client碰

作者: MOONRAKER (㊣牛鹤鳗毛人) 2016-05-25 13:36:00

不是session id是session 你有听过google吗

作者: wilson200106 (种子种子) 2016-05-25 14:46:00

做session，然后做个function判断登入，塞在headerif(!is_login()) { } 类似这样

作者: xdraculax (首席怪叔叔) 2016-05-26 12:43:00

cookie 保持登入还蛮普遍的说 0.0 只是要存含IP编码过的

继续阅读

[请益] 请问时间格式转换pttzoo Re: [请益] 如何对Content-Disposition标头加下载标题?GALINE [请益] 如何自动产生 post 像facebook那样korurudo3so [请益] 如何对Content-Disposition标头加下载标题?red0whale [请益] phpMyAdmin一些新手问题Derpy [请益] 三角函数输入正负数(整数跟小数)结果对输入0却怪怪的todo70192 Re: [教学] pdo使用基础教学(影片)Jack520Chen [请益] 安装好apache后进入数据库测试却有问题G4321 Re: [请益] PHP7之后不支援函数的方案GALINE [请益] PHP7之后不支援函数的方案HwangTW