php用户登录之cookie信息安全分析

            本文实例讲述了php用户登录之cookie信息安全。分享给大家供大家参考，具体如下：
大家都知道用户登陆后，用户信息一般会选择保存在cookie里面，因为cookie是保存客户端，并且cookie可以在客户端用浏览器自由更改，这样将会造成用户cookie存在伪造的危险，从而可能使伪造cookie者登录任意用户的账户。
下面就说说平常一些防止用户登录cookie信息安全的方法：
一、cookie信息加密法
cookie信息加密法即用一种加密方法，加密用户信息，然后在存入cookie，这样伪造者即使得到cookie也只能在cookie有效期内对这个cookie利用，无法另外伪造cookie信息。
这里附上一个加密函数：
0) &&
substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
      return substr($result, 26);
    } else {
      return '';
    }
  } else {
    // 把动态密匙保存在密文里，这也是为什么同样的明文，生产不同密文后能解密的原因
    // 因为加密后的密文可能是一些特殊字符，复制过程可能会丢失，所以用base64编码
    return $keyc.str_replace('=', '', base64_encode($result));
  }
}
$str = 'abcdef';
$key = 'www.jb51.net';
echo $jm = authcode($str,'ENCODE',$key,0); //加密
echo "
";
echo authcode($jm ,'DECODE',$key,0); //解密
?>
这样当设置用户信息的cookie时，就无法对其进行伪造：
$uid,"username"=>$username);
$user = base64_encode(serialize($user));
$user = authcode($user,'ENCODE','www.jb51.net',0); //加密
setcookie("user",$user,time()+3600*24);
?>
二、用加密令牌对cookie进行保护
$hash = md5($uid.time());//加密令牌值
$hash_expire =time()+3600*24;//加密令牌值为一天有效期
$user = array("uid"=>$uid,"username"=>$username,"hash"=>$hash);
$user = base64_encode(serialize($user));
setcookie("user",$user,$hash_expr);
然后把$hash和$hash_expire 存入member表中hash和hash_expire对应字段中,也可以存入nosql，session
用户伪造cookie时，hash无法伪造,伪造的hash和数据库中的不一致
用户每次登陆，这个hash_expire有效期内不更新hash值，过期则更新
更多关于PHP相关内容感兴趣的读者可查看本站专题：《php curl用法总结》、《PHP运算与运算符用法总结》、《PHP网络编程技巧总结》、《PHP基本语法入门教程》、《php操作office文档技巧总结(包括word,excel,access,ppt)》、《php日期与时间用法总结》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家PHP程序设计有所帮助。
            
            
您可能感兴趣的文章:

php中使用cookie来保存用户登录信息的实现代码

php中如何同时使用session和cookie来保存用户登录信息

php使用cookie保存用户登录的用户名实例

PHP根据session与cookie用户登录状态操作类的代码

php同时使用session和cookie来保存用户登录信息的实现代码

php cookie用户登录的详解及实例代码