[請益] PHP驗證帳號的方式

看板PHP作者 (谷歌翻譯王)時間8年前 (2016/05/25 11:47), 8年前編輯推噓2(205)
留言7則, 4人參與, 最新討論串1/3 (看更多)
因公司接觸到aspx,而我也發現這東西只要有最高權限的GUID(固定) 即使在無痕模式下也能直接登入 PHP有沒有辦法可以防範這種GUID攻擊方法(我想寫的,與公司aspx無關) 例如在我的網站下以 index.php 為登入頁面 (以 www.example.com 為例) 網站之下的分支都得登入後才能觀看/操作的 即使直接輸入 www.example.com/test/test.php 1. 未經授權存取 直接轉到 www.example.com 待使用者輸入帳號後 在某個 iframe 顯示 www.example.com/test/test.php 的內容 2. 有授權存取 直接轉到 www.example.com 並在某個 iframe 顯示該內容 最後一個問題 cookie 該怎麼寫QQ 在此請教了 -- 當你年輕的時候 你會覺得真愛無敵 麵包以後就會有 當你中年之後 你會發現真愛很重要 所以他需要麵包來保護   --文章代碼(AID): #1LOyQl47 (Gossiping) 作者:yasaq -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.80.67 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1464148035.A.1F0.html
05/25 12:14, , 1F
不要把登入/帳號資訊放在 cookie 裡面,只存session id
05/25 12:14, 1F
05/25 12:14, , 2F
登入後的權限放在session裡面不讓client碰
05/25 12:14, 2F
session id該怎麼寫QQ 有教學嗎?
05/25 13:36, , 3F
不是session id是session 你有聽過google嗎
05/25 13:36, 3F
SORRY 那時候才剛碰(? 剛剛嚼了好多文章(滾滾
05/25 14:46, , 4F
做session,然後做個function判斷登入,塞在header
05/25 14:46, 4F
05/25 14:46, , 5F
if(!is_login()) { } 類似這樣
05/25 14:46, 5F
function判斷登入...我好像還沒那麼高等orz ※ 編輯: HwangTW (220.133.80.67), 05/25/2016 16:59:24
05/26 12:43, , 6F
cookie 保持登入還蠻普遍的說 0.0 只是要存含IP編碼過
05/26 12:43, 6F
05/26 12:43, , 7F
05/26 12:43, 7F
更多 HwangTW 的文章
文章代碼(AID): #1NHI137m (PHP)
更多 HwangTW 的文章
文章代碼(AID): #1NHI137m (PHP)