php - 关于Session验证登陆状态的一个疑问?
本文介绍了php - 关于Session验证登陆状态的一个疑问?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
写程序也有那么几年头了,框架用的久,原生Session这块几乎没做过什么研究,现在突然想起来,还真有个小疑问:
我一般验证是否登陆类似这样写:
验证:
if(!checkV($_GET['username']) || !checkV($_GET['password']))
{
return false;
}
if($username == $_GET['username'] && $password == $_GET['password'])
{
$_SESSION['islogin'] = 1;
}
状态验证:
function checkLogin()
{
if(empty($_SESSION['islogin']))
{
return false;
}
return true;
}
我总感觉这么写是不是太简单了? 安全方面自己心里没点低,但是这个方法用了挺久也没出过啥问题,望批评指教!
解决方案
写法没问题
问题是别人伪造你的session_id,就可以操作该session_id对应的用户,简单解决办法用HTTPS防止中间人
这篇关于php - 关于Session验证登陆状态的一个疑问?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文