当前位置: 首页 > 图文教程 > 网络编程 > PHP > php编程中遇到的cookie的问题

PHP
linux php mysql数据库备份实现代码
php mssql 日期出现中文字符的解决方法
PHP中查询SQL Server或Sybase时TEXT字段被截断的解决方法
php 动态添加记录
php 结果集的分页实现代码
php执行sql语句的写法
php连接mysql数据库代码
php 表单验证实现代码
php URL编码解码函数代码
php 表单数据的获取代码
php 异常处理实现代码
php 删除记录实现代码
php 获取mysql数据库信息代码
PHP 文件类型判断代码
解决163/sohu/sina不能够收到PHP MAIL函数发出邮件的问题
php session 预定义数组
php session 检测和注销
php session处理的定制
php session应用实例 登录验证
php cookis创建实现代码

PHP 中的 php编程中遇到的cookie的问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-28   浏览: 113 ::
收藏到网摘: n/a

以前我们刚写PHP的时候,做后台,需要管理员身份认证。一般用COOKIE这么做的,特别是刚接触PHP的PHP爱好者:

admin/login.php

PHP代码:

if(用户名&&密码正确) {
     setcookie('admin',1,time()+36400);
     echo '登录成功';
}


PHP代码:


if($_COOKIE[admin] == 1) {
    echo '有权限';
}


但是这样会造成很大的安全隐患,很多浏览器可以直接修改COOKIE,或者直接在系统里修改。

只要伪造cookie,那么管理权限就拿到了

为了安全,这么做:

PHP代码:


if(用户名&&密码正确) {
     setcookie('userid',用户在系统中的ID,time()+36400);
     setcookie('userpass',用户在系统中的32位md5密码,time()+36400);
     echo '登录成功';
}


判断权限的时候这么做:

PHP代码:


if($_COOKIE[userid]) {
$query = mysql_query(select * user table where userid = '$_COOKIE[userid]' and userpass = '$_COOKIE[userpass]');
$row = mysql_fetch_array($query);
if($row[rank] <> 1) {
    echo '没有权限';
}
}

这样伪造cookie就没有任何作用了

现在我一般都这么做,如果这个方法有什么不对的还请指出。