php - 关于Session验证登陆状态的一个疑问?

问题描述

问 题

写程序也有那么几年头了，框架用的久，原生Session这块几乎没做过什么研究，现在突然想起来，还真有个小疑问：
我一般验证是否登陆类似这样写：

验证：

if(!checkV($_GET['username']) || !checkV($_GET['password']))
{
    return false;
}

if($username == $_GET['username'] && $password == $_GET['password'])
{
    $_SESSION['islogin'] = 1;
}

状态验证：

function checkLogin()
{
    if(empty($_SESSION['islogin']))
    {
        return false;
    }
    return true;
}

我总感觉这么写是不是太简单了？ 安全方面自己心里没点低，但是这个方法用了挺久也没出过啥问题，望批评指教！

解决方案

• 写法没问题

• 问题是别人伪造你的session_id,就可以操作该session_id对应的用户，简单解决办法用HTTPS防止中间人

这篇关于php - 关于Session验证登陆状态的一个疑问?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！