我是否做了足够的工作来保护登录到会话中的php?
保护登录到会话中的PHP是确保应用程序安全的重要步骤之一。以下是一些措施,可以帮助保护会话中的PHP:
- 使用安全的会话管理:确保会话ID是随机生成的,并使用足够的熵。可以通过设置
session.entropy_file和session.entropy_length来增加熵的强度。此外,使用session.cookie_secure来强制仅通过HTTPS传输会话ID。 - 防止会话劫持:使用
session.cookie_httponly来防止会话劫持攻击。这将禁止JavaScript访问会话cookie,减少了被XSS攻击窃取会话ID的风险。 - 设置会话过期时间:通过设置适当的会话过期时间,可以减少会话被滥用的风险。可以使用
session.gc_maxlifetime来设置会话的最大生存时间。 - 验证会话数据:在每个请求中,验证会话数据的完整性和有效性。确保会话数据没有被篡改或伪造。
- 防止会话固定攻击:定期更改会话ID,以防止攻击者通过会话固定攻击获取有效的会话。
- 使用安全的数据库存储:将会话数据存储在安全的数据库中,并使用适当的加密和防护措施来保护数据的机密性和完整性。
- 防止跨站点脚本攻击(XSS):对输入数据进行适当的过滤和验证,以防止XSS攻击。使用安全的编码函数来输出会话数据,以防止XSS漏洞。
- 定期审计和监控:定期审计会话管理的安全性,并监控异常活动和登录尝试。及时检测和响应潜在的安全威胁。
总结起来,保护登录到会话中的PHP需要综合考虑会话管理、会话数据的完整性和安全存储、防止常见的安全漏洞等方面。腾讯云提供了一系列云安全产品和解决方案,如腾讯云Web应用防火墙(WAF)、腾讯云安全组、腾讯云数据库等,可以帮助用户提升应用程序的安全性和可靠性。
更多关于腾讯云安全产品的信息,请参考:腾讯云安全产品
相关·内容
我是一个php开发人员,但我需要在React.js中创建一个系统,但我有一些问题。在php中,当用户登录时,它使用web api以这种方式工作:
例如,用户访问登录页面->,使用登录进行请求并传递给php文件-> php,获取该请求并发送登录到web api -> web api,检查用户是否有效,如果登录有效,则将其返回给php ->显示给用户。
如果登录没有问题,就会创建一个会话,并将用户重定向到仪表板。就像下面这张照片
但是我对反应感到困惑,我需要使用节点来像php那样操作吗?或者只是反应?我的web在ASP.NET内核中。
浏览 0提问于2018-10-05得票数 0
我是新手php (1个半月),我已经设置了一个PHP登录脚本来检查我设置的数据库,如果他们已经注册或没有,它工作得很完美,但我想阻止用户而不是登录,在地址栏中键入网址,通过键入访问页面,如果他们确实尝试这样做,检查他们是否已经登录,如果他们还没有,重定向到登录页面,输入他们的凭据。我到处寻找,它们要么对我毫无帮助,要么对一个PHP新手来说很难理解。我相信它将包括php会话的使用,但我不太确定如何编码或编写它。
谢谢
浏览 0提问于2013-02-28得票数 1
2回答
我使用PHP会话创建了一个登录系统。
下面是它的工作原理:
1.)当用户登录时(使用有效的登录信息):他们的信息(username和password)被存储到会话中,以及其他一些信息:The Expire time:这只是添加到当前时间的5分钟(因此,如果用户登录在22:30,则过期时间为22:35)。
2.)在正在登录的用户的每个页面视图上:将检查会话以查看是否存在。如果没有,用户将被重定向到登录页面。如果会话确实存在,则检查expire time并将其与current time进行比较。如果expire time大于current time (用户对5+ mins不活跃),则检查他们的用户
浏览 2提问于2011-12-17得票数 6
回答已采纳
当用户访问页面时,系统会检查用户是否在每次点击链接时都登录到每个页面,还是只有一次?我遇到的问题是:用户登录没有问题。但是,如果我输入我的注册页面的URL,系统会将我引导到注册页面,并将我的标题改回好像我不是用户一样。这在许多页面上都是随机发生的。有些地方在没有登录的情况下会显示注册用户的标题。所以我假设会话没有工作,但我不确定系统如何知道或检查这一点,或者它是否是自动的,或者我们是否需要为每个页面、每个页面上的每个链接编写代码?平台是codelignitor php。
谢谢。
浏览 2提问于2011-03-01得票数 0
2回答
我有以下结构:
Index.php
Account.php
Login.php
CheckLogin.php
当有人通过login.php登录时,它会检查用户名和密码,并设置以下会话变量
$_SESSION['username'] = $username;
$_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT']);
当他们访问包含文件CheckLogin.php的Account.php时,它会检查HTTP_USER_AGENT,并检查是否设置了username变量。
这就是我的
浏览 5提问于2012-12-21得票数 0
所以我用php会话ID cookie做了一些测试。我知道数据存储在服务器上,但是会存储一个具有唯一ID的cookie,以便服务器在浏览时能够识别客户端。所以,我得到了cookie的ID并在另一台计算机上打开了firefox,我将那个phpsession cookie编辑到了我登录的计算机上的id .不出所料,我登录了。
我所能做的就是检查http用户代理和IP的前三组数字(xxx.123)没有改变(以避免动态IP问题)。不过,我想知道使用永久HTTPS连接是否会使php会话ID的内容不可接受,就像有人进入我的计算机,抓取cookie内容,并自己使用它。
另外,我知道通过默默无闻的安全性不是很好
浏览 0提问于2014-05-05得票数 0
回答已采纳
1回答
我有一个网站在一个远程主机与正常的php认证,以达到网站的管理区,即登录详细信息存储在数据库中,并检查用户输入与它。我最近刚开始学习PHP cURL,并在我的本地主机上做了一些实验。使用获取页面功能,我能够绕过我的远程网站的身份验证,进入管理区域。
PHP cURL:
$cSession = curl_init();
curl_setopt($cSession,CURLOPT_URL,"http://myremotesite.com/admin/profit");
curl_setopt($cSession, CURLOPT_RETURNTRANSFER, true);
c
浏览 0提问于2015-02-20得票数 0
一个朋友想让我在他的网站上实现基本的文件安全,这样他就可以自己照顾自己了。
我认为最简单的选择是将.htaccess文件放入他想要保护的文件夹中,这将将所有请求重定向到根中的php文件。然后,php文件将检查用户是否已登录,并为该文件提供服务或请求一个固定的共享登录密码。
到目前为止,除了两个问题外,一切都很顺利。首先,我无法根据htaccess文件所在的目录获得htaccess文件的工作--我只能通过将目录硬编码到htaccess文件中来管理它。其次,我可以让php文件知道所请求的文件的url。
任何帮助和指示都是很好的!
浏览 1提问于2018-11-18得票数 0
回答已采纳
2回答
目前,我正在设置一个PHP管理登录页面,这是我如何设置它。
如果用户导航到website.com/admin,则返回404错误。访问管理登录的唯一方法是访问website.com/ admin ?key=随机字符串。如果URL中的键与数据库中的键不匹配,它将返回404错误。当键匹配时,它将向您提供管理登录。
我认为这是聪明的,以帮助阻止某人访问管理登录屏幕,但我没有足够的经验,以了解这是否属实。
浏览 3提问于2015-07-08得票数 0
回答已采纳
3回答
我想在我的网站上实现一个登录系统,如果用户当前没有登录,它会将用户重定向到login.php。我目前正在使用这种方法:
<?php
start_session();
if (!isset(_SESSION['user_id']))
{
header('location:login.php');
exit();
}
$user_details = get_user_details_from_db(_SESSION['user_id']');
?>
<html lang="en">
浏览 1提问于2014-07-30得票数 0
1回答
我正在使用spring安全性开发一个java应用程序。
我想避免会话固定,但在文档中找到的会话固定解决方案似乎不像预期的那样工作.
所以,我在登录时做了这个
final HttpSession session = request.getSession(false);
if (session != null && !session.isNew()) {
session.invalidate();
}
每次我调用登录页面时都会更改JSESSIONID .
但是,一旦我登录,我可以再次调用登录页面,获得另一个JSESSIONID
浏览 2提问于2016-02-12得票数 0
回答已采纳
2回答
当一个人在我的网站上注册或登录时,他们会被发送到"thanks.php“。
该页面会检查您是否已登录,如果已登录,则会告诉您可以执行的操作,如果没有,则会给出一个到register.php页面的链接。
然而,任何人都可以制作自己的cookie并像这样欺骗脚本。
我该如何保护自己不受此影响呢?
我想到的一件事是检查$_SESSION['session_id']是否存在于数据库中。据我所知,你不能自己生成它,即使你可以,你也需要数据库访问才能找到一个。
不过,我不太确定,有没有人对这种“谢谢”页面有什么建议或经验?
浏览 1提问于2009-08-20得票数 1
回答已采纳
我正在运行一个简单的服务,用户必须登录才能操作特殊的功能。
我的MySQL数据库存储username、password和user_id。
当用户想要登录时,他们必须提供他们的用户名和密码,并张贴到profile.php。
profile.php做了一个简单的检查:
// Sanity Check
if(empty($_POST['smart_email'])|| empty($_POST['smart_password']))
{
echo 'Sorry, wrong login/passwd';
exit;
}
else
{
浏览 1提问于2015-11-27得票数 6
回答已采纳
2回答
我创建了一个php脚本,用于查看管理员是否使用PHP会话登录。如果他们没有登录,脚本会将他们返回到他们所在的最后一个页面,并显示一条错误消息。
$Message = urlencode(" Authentication Timeout: 1");
header("Location: {$_SERVER['HTTP_REFERER']}?Message=".$Message);
在main.php页面上,我有以下代码来检查$Message:
<?php
if(!empty($_REQUEST['Message'])){
ec
浏览 1提问于2018-04-11得票数 0
我是PHP新手,但总体上不是编程人员,这让我困惑了几个星期。
我在一个网站上工作,在那里登录将开始被其他人使用,所以我不能在这一点上使用我的解决办法。
这是设置cookie的代码。
ob_start();
...
session_register("myusername");
session_register("mypassword");
$cookiename = "loginsuccess";
$ipforcookie = $_SERVER['REMOTE_ADDR'];
$cookiedata = $myuser
浏览 1提问于2011-05-17得票数 0
我为我的应用程序准备了这个设置:
Keycloak服务器
密钥披风-保护nodejs后端(仅承载)
PHP/Reactjs前端
前端是可选择的登录保护。对于某些用户来说,它需要登录,这将使用户重定向到Keycloak服务器。在用户登录后,前端将有一个承载令牌来对受密钥披风保护的后端进行api调用。
我的问题是如何为不需要登录的用户(匿名用户)获取承载令牌。
我试过这种方法:
创建供PHP使用的“机密”客户端。
前端PHP使用client_id和client_secret获取承载令牌,并将它们传递给javascript (我的意思是,在标记内打印令牌值,这是一个全局变
浏览 1提问于2018-11-18得票数 2
2回答
我如何保存登录和输出的用户日志?
、、、、
我正在创建一个管理面板来记录故障,保存任务,记录错误等等。目前,屏幕顶部有以下代码,用于检查用户是否登录,如果没有,则发送到登录/创建用户页面。
<?php
session_start();
include 'login/config.php';
if(!isset($_SESSION['username'])){
header('location:login/index.php');
exit();
}
?>
我觉得可能有更好的办
浏览 3提问于2015-04-15得票数 0
回答已采纳
我正在限制我的管理面板,只接受会话存在时的访问权限。
当用户使用sucess登录时,我存储了一个会话,如下所示:
...
$result = $readUser->fetch(PDO::FETCH_ASSOC);
$_SESSION['result'] = $result;
然后在我的dashboard.php中查看会话是否存在:
if(!$_SESSION['result'])
{
header('Location: index.php?restricted=true');
}
如果不存在,我会将用户发送到我登录表单所在的inde
浏览 1提问于2014-06-07得票数 0
1回答
我正在为某人开发一个网站,在那里用户可以将问题发布到网站上,公司的管理员可以查看问题并给出解决方案。我使用一个负责登录处理的页面和一个mysql数据库。问题是,我可以登录,它会显示另一个面板(用户面板),但无论我单击其他按钮,它都会将我带回登录面板。它曾经可以工作,因为我能够将数据发布到我的数据库中。但是突然在我的网站上做了一些改变后,它停止了工作(我再也找不到这个问题了)。
当我登录时,$_SESSION"LoggedIn“获得一个值,并使用http post转到同一页面上的另一个面板。当我点击那里的一个按钮时,似乎$_SESSION"LoggedIn“又被删除了,因为我用i
浏览 1提问于2012-06-10得票数 0
回答已采纳
2回答
我发现了这些问题,其中操作员和我有同样的问题。
然而,我不能解决我的问题。用户按下注销按钮,然后页面被重定向到index.php,但浏览器中的后退按钮将页面重定向到前一个内容(受登录保护)。
刷新后,所有工作正常,后退按钮停止工作->用户被重定向到登录表单。
php文件
<?php
header ("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); // Date in the past
header ("Last-Modified: " . gmdate("D, d M Y H:i:s")
浏览 4提问于2011-11-04得票数 1
回答已采纳
最近我试着“开发”我自己的登录系统。我相信以前已经有人这样做了,但这是它的工作原理的总结。
当然,还有一个"members“表,其中包含ID、用户名、bcrypt加密密码、电子邮件和其他数据等数据。
其次,还有另一个名为“会话”的数据库,它包含一个自定义会话散列和用户ID。
现在,当有人登录时,在所有检查完成后,脚本将生成一个唯一的32个字符长度的散列,并将其存储在用户的会话信息中。相同的会话散列将与登录用户的ID一起插入到“会话”数据库中。
当它检查会话是否有效时,它将检查数据库中是否存在该会话。如果是,那么检查用户的最后一次操作是否超过15分钟。如果是,则该会话已过期,并将其从数据
浏览 0提问于2012-02-26得票数 0
回答已采纳
2回答
我有一个自制CMS安装在两个不同的网络服务器。每个都维护相同的代码。当我尝试在不同的域之间传递$_SESSION变量时,我遇到了一个非常烦人的问题。
我的CMS在domain1.com上。它控制的网站位于domain2.com上。我的系统通过url链接将登录信息的所有会话变量从domain1.com传递到domain2.com (domain1.com有如下链接:http://domain2.com?sessionId=1gh...)(sessionId由session_id()生成)。the检索会话id并执行session_id($_GET['sessionId'])设置会话
浏览 1提问于2012-10-03得票数 0
回答已采纳
3回答
你好,我已经创建了登录系统,但由于某种原因它无法工作,我在某个登录之后启动会话,然后检查会话是否设置,会话是否不超过1小时:
这是我在index.php上的登录脚本:
<?php
require 'mysql.php';
if(isset($_SESSION["username"]) && time() - $_SESSION["CREATED"] > 3600){
session_start();
session_unset();
session_destroy();
}
if(is
浏览 2提问于2016-05-28得票数 1
回答已采纳
简而言之,我有一个测试服务器/网站,在那里我上传了一个名为"private“的文件夹,里面有PHP脚本。程序流程如下: login -> search for a item number -> display item image --> logout or search the。
将来,item页面将显示有关每个特定项目的大量数据库信息,但目前它只显示一个图像。测试网站的链接如下:
我的主要问题是关于安全性和漏洞。login.html页面有一个表单,它将信息发布到名为"ProcessLogin.php“的php脚本中,该脚本会将您重定向到使用错误凭据的登录
浏览 1提问于2012-07-02得票数 0
2回答
会话应用于多个网站。
、、、
我已经做了两个网站,使用登录系统,一切都很好,他们两个。用户可以同时登录和注销。我正在使用xampp,并在两个选项卡中以Chrome打开两个网站。在两个网站上,当用户登录时,我都会显示用户的电子邮件地址。问题是,当我登录到A网站时,切换到网站B并刷新我在该网站上登录的页面,以及我在网站A上登录的电子邮件地址。这个地址是显示的,当没有与适当的网站相关的帐户时也会显示。我的问题是如何将会议限制在单一网站上。
这是登录操作
<?php
include 'db.inc';
session_start();
$UserEmail =$_POST["EmailAddr
浏览 5提问于2014-05-10得票数 0
回答已采纳
2回答
我正在用PHP和MySQL开发一个简单的web应用程序。我对这两种技术都很陌生。我正在考虑创建一个类,或者仅仅是一个"top“文件,它可以根据用户是否登录来跟踪像IsLoggedIn这样的变量,这些变量要么是0,要么是1。我想这样做,因为某些页面将显示不同的内容或不显示内容,这取决于用户是否登录。
首先,我考虑创建每个类都继承的BasePage类,然后在用户登录和注销后修改BasePage中的变量。该变量可以是我的“切换”,以跟踪用户的当前状态。通过一个名为constants.php的文件这样做更好,该文件只定义常量,并允许我访问所有其他文件中的常量?还是创建一个BasePage类是更
浏览 4提问于2015-08-09得票数 1
回答已采纳
10回答
我正在考虑创建一个“session”表,该表包含一个随机#、用户ID、用户登录时填充的日期/时间,以及每个显示页面中唯一标识用户的随机#。每次用户显示页面时,记录都会被更新,如果在过去的x小时内没有任何活动超过我计划强制重新登录的话,那么记录将使用最近的日期/时间活动更新。几个问题:
我是否应该包括IP (我不关心多个会话,而是考虑到增加安全性)
这是否比标准的PHP会话方法(cookies等)更有效、更安全?
我是否应该使用此方法以及php会话(cookie)来匹配这两个会话,以确保正确的人(cookie包括IP等?)
是否有更好的方法或标准的安全模式存在(我不知道)?
浏览 5提问于2009-10-07得票数 1
1回答
我是PHP新手,希望有人能在这方面帮助我。
目前,我使用以下方法创建会话/cookie,并在会话过期或未登录时将用户重定向到登录页面。这是包括在一个网站的所有网页。
到目前为止,这似乎符合预期。但是,当我用很短的生命周期(例如2分钟)测试时,它也将我重定向到登录页面,而我还在网站上登录。
是否有一种方法,我可以将它设置为不过期,只要用户在网站上重新安装。只要站点在浏览器中是开放的?我做了一些研究,但找不到合适的教程。
My:
session_set_cookie_params(86400 * 30, "/");
if(isset($_COOKIE["PHPSESSID&
浏览 1提问于2015-06-28得票数 0
回答已采纳
3回答
当用户登录时,我试图使一个按钮出现。如果用户没有登录,按钮就不会出现在页面上。因此,我需要的第一件事是确定用户是否已登录。问题是,Auth::check()一直返回null。我已经做了一些研究,我们应该把路由放在Auth中间件中,但是在这样做的时候,用户必须登录才能看到页面,我不想这样做。我希望用户能够在没有登录的情况下看到页面,并且当他们登录时,一个按钮将出现在同一个页面上。
组件
<button v-if="showBtnDelete==true" class="btn btn-danger">Delete</button>
&
浏览 5提问于2019-09-22得票数 0
我有登录和注册系统与受保护的页面(主页)。当用户创建帐户并使用用户名和密码登录时,系统将将用户重定向到主页。在主页上,我有一个限制代码(只有登录用户才能在主页上):
session_start();
session_destroy();
include $_SERVER['DOCUMENT_ROOT'] . '/web/route.php';
include $_SERVER['DOCUMENT_ROOT'] . '/app/database/config.php';
include $_SERVER['DOCUMENT
浏览 2提问于2022-01-03得票数 1
回答已采纳
1回答
我正在编写一个服务,其中用户使用OAuth登录到另一个服务。我的服务的重点是在用户未登录时为他们做一些维护工作。因此,我需要保存他们的OAuth令牌,以便在用户未登录时使用。如果用户已经登录,我可以使用用户的密码作为加密密钥(每次都需要;用户的密码只存储为散列)并存储加密的令牌。
但实际上,我需要web服务能够在用户未登录时使用这些令牌。因此,我正在考虑将它们加密存储在数据库(AES)中,但是解密它们的密钥要么需要硬编码到应用程序中,要么从其他东西(用户名/电子邮件/散列密码的组合)中派生,尽管派生的逻辑仍然在源代码中。
考虑到这将是用PHP编写的,而PHP不能被编译为隐藏密钥,那么我有什么最
浏览 2提问于2013-05-22得票数 3
我已经添加了功能,我的管理员,所以它保留了URL,您试图访问之前,它要求您登录。因此,如果您转到:
/admin/foo/bar?baz
它会将您重定向到:
/admin/auth/login
在你登录之后,在我的函数插件之前,你总是去/admin/user/profile。现在,我将/admin/foo/bar?baz保存在会话变量$_SESSION['from']中。
在登录<form>中,隐藏值采用会话的值:
<input type="hidden" name="from" value="<?php echo
浏览 3提问于2011-03-04得票数 0
3回答
我试图了解PHP应用程序如何检查用户是否登录。我特别关注mediawiki的代码,试图帮助我理解,但是这些情况在所有php应用程序中都应该相当常见。
据我所知,主要案件如下:
用户刚刚登录或创建,每次他们访问PHP页面时,都会通过检查$_SESSION变量和cookie所共有的数据来了解它们。很久以前就在登录页面上检查了“记住我”选项。他们有一个带有tokenID的计算机上的cookie,并使用服务器上的令牌进行检查以验证它们。在这种情况下,没有会话变量,因为访问之间的时间可能是几周。
我的问题是,当用户登录时会发生什么,但是PHP会话超时而他想访问一个页面呢?我会假设服务器没有一种简单的方法
浏览 5提问于2010-03-30得票数 2
我的索引页有一个登录和注销会话。
因此,它使用用户的电子邮件作为会话,当用户登录时,通过存储在会话中的电子邮件从fb获取详细信息。
但是,当用户注销时,它会显示一个错误
注意:未定义索引: D:\xampp\htdocs\site\index.php中的电子邮件
我的代码如下:
<?php
//15 2 2015
session_start();
?>
<?php
$email = $_SESSION['email'];
$sql = "SELECT * FROM landlords WHERE email
浏览 3提问于2017-04-13得票数 0
回答已采纳
我正在处理Spring-MVC应用程序,必须处理一个用例,在这个用例中,在成功登录到我的应用程序后,我必须将用户重定向到他/她来自的相同位置。
我遇到了使用header的问题,比如
final String refer = request.getHeader("Referer");
但在做了一些研究和开发之后,我遇到了各种各样的帖子,他们说Referer不可靠,防火墙和浏览器可能会阻止它,这可能会使我的应用程序无法正常工作。
有没有其他方法可以做到这一点?或者在spring中,我如何获取有关用户所在位置(URL)的信息,以便我可以将其保存在某个位置,并在用户成功登录后进行检索。
浏览 0提问于2012-05-27得票数 0
回答已采纳
1回答
我已经建立了一个网站,我希望用户能够登录只与LinkedIn帐户。我使用这个教程管理LinkedIn连接:但是我有点卡住了,因为我想要我的php页面(home.php,account.php等)。仅当您通过LinkedIn登录时才能访问。到目前为止,我可以使用LinkedIn登录(就像本教程一样),但我也可以直接从页面的URL访问页面,这些页面应该是使用LinkedIn授权的。
我相信为了实现这一点,我必须将来自LinkedIn值的一些身份验证响应存储在一个会话变量中,然后检查每个要保护的.php页面,看看是否设置了该值。
任何帮助都是很棒的,因为我读过的所有关于LinkedIn的帖子都有指向
浏览 3提问于2015-06-14得票数 1
4回答
在这个问题中,我询问了如何从vb.net应用程序发布到php文件:所以现在我已经通过将用户名和密码发布到php文件来登录用户用户,然后php文件执行安全/检查他们是否存在/等等,如果用户名和密码都正确,则会将用户ID存储在会话变量中。
现在,如果vb.net应用程序尝试从需要用户登录的页面下载数据,它会执行以下操作进行检查:
if (!isset($_SESSION['uid'])) {
header("Location: index.php");
}
但是,在应用程序中正确登录后,不会设置会话变量。像这样的vb.net应用程序,会话是如何工作的?
当用
浏览 0提问于2010-04-11得票数 0
回答已采纳
据我所知,当用户在Security中登录使会话无效并创建一个新会话时。
因此,如果我来自带有明确sessionID cookie的http,那么Security应该设置一个新的sessionID 'secure‘cookie,该cookie将由浏览器只在随后的https请求中发送回来。
我所缺少的是,当“登录”用户从https切换到http时,必须有一个sessionID cookie作为非安全cookie存储在某处,以跟踪会话。
我不明白Spring是如何做到这一点的。
当用户登录后,如果他浏览到http,那么清除的sessionID cookie与安全SessionID相同,它是否
浏览 1提问于2010-11-25得票数 4
1回答
在控制器类中我有一个简单的方法。
Class TrainingController{
def getTrainingsJson(){
def trainingList = Training.list()
println "called===="
//render trainingList as JSON
render "${params.callback}(${trainingList as JSON})"
}
}
它获得了培训列表,在我的HTML页面中,我有如下
浏览 4提问于2013-04-09得票数 1
我已经查过了,但我还是不确定。在asp.net中,我可以通过编程方式在服务器side...and上登录用户--我不是指客户端脚本,它会在表单拉出站点时自动填写。我可以检查一些服务器端,如果是的话,登录到网站。如果为false,我可以重定向到用户名/密码表单,并让它们输入用户名和密码。
在PHP中可以做类似的事情吗?
我有一些事情想做,但是如果一开始就不可能的话,最好不要把时间浪费在某件事上。
谢谢!
-=-=
在asp.net中,该过程的工作方式如下:
调用uservalidate方法,查看凭据是否正确。
调用formsauthentication.setauthcookie设置身份验
浏览 0提问于2011-06-18得票数 0
回答已采纳
我想知道在PHP中使用会话的网站密码保护区域是否也需要.htaccess。我是网站密码保护领域的新手,所以尽管我在这方面做了这么多天的研究,我仍然很困惑。
我的客户使用的计费公司提供了一个我放在特定文件夹中的脚本,允许他们将新的和更新的用户信息写入站点的用户mysql数据库。我想使用我自己的登录和注销页面,而且我知道HTTP身份验证使用它自己的弹出式登录框,并且没有提供真正的方式来登录out...hence我们正在使用数据库来存储用户信息。
因此,底线是,如果我通过数据库进行身份验证并在PHP语言中使用会话,我是否需要在受保护的文件夹中使用.htaccess文件?
首先要感谢大家!
浏览 0提问于2013-01-14得票数 0
回答已采纳
3回答
PHP会话安全问题
、、、
我在StackOverflow上做了一些关于如何正确设置会话和防止劫持等方面的研究。我发现有人在其中一个问题上发布了一个答案,他提供了以下代码:
用于用户登录时,用户名和密码与匹配。
$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] .''. $_SERVER['REMOTE_ADDR']);
检查用户是否登录,以查看受保护的页面:
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USE
浏览 2提问于2011-08-21得票数 2
回答已采纳
2回答
我正在制作一个网络游戏的乐趣与许多形式,张贴数据到php页面。有什么方法可以防止人们使用他们自己的网页表格发布到我的网站上?
我的PHP知识不太先进。所以,虽然我一直在研究这个话题,但不幸的是,我发现的答案让我有点困惑。我发现这个问题是从前面提到这个问题的:开始的。我对第一个答案感到有点困惑,我想知道是否有人可以在PHP中提供一个例子。我正在努力解决的一些具体问题是:
如何将令牌保存在服务器的某个位置?
你怎么决定这个记号应该是什么?
如果有人在网站上,他们就不能查看源,在隐藏的输入元素中看到令牌,并以自己的第三方形式使用它吗?
谢谢你的帮忙!
浏览 9提问于2011-08-03得票数 2
回答已采纳
2回答
我已经为两个客户端创建了一个PHP页面,相同的数据,相同的一切,它们只是由它们在服务器和MySQL表中的文件路径分开。
在这种情况下,我有一个所有页面都需要的welcome.php文件,以了解是否已经存在活动的已登录会话,如果不存在,则将用户重定向到login.php页面。
下面是我在login.php中的代码:
<?php
// Initialize the session
// This sends a persistent cookie that lasts a day.
session_start([
'cookie_lifetime' => 86400,
浏览 0提问于2018-01-31得票数 0
2回答
从Laravel 5.1.17升级到5.2。我的config/auth.php最初包含:
'driver' => 'eloquent',
'model' => 'Project\User',
'table' => 'users',
新文件与默认文件相同,但具有更新的名称空间。
'defaults' => [
'guard' => 'web',
'passwords' => '
浏览 21提问于2015-12-25得票数 18
回答已采纳
我正在周围玩学习新的东西,目前正在工作的方式,登录和离开我的网站,只有访问不同的网页,如果我是登录。我目前有一个登录表单,将我登录。我有一个会话变量集,可以检查某人是否登录,如果没有重定向到登录页面。这是它的工作原理和我的问题。我有一个登录页面,一旦登录将指示您说Home.php。这一切都很好,除了,我可以直接从网址home.php。not /home.php. the允许访问,即使此人没有登录。
为了解决这个问题,我尝试了两件事。我为Home.php尝试过这样的方法:
<?php
session_start();
if(isset($_SESSION["Authentic
浏览 4提问于2016-03-27得票数 1
回答已采纳
2回答
当我试图构建自己的安全PHP会话类时,我实际上想知道是什么阻止了有人模拟会话?
为什么test.php上的代码不能
$_SESSION['logged_in'] = true;
无法在index.php上工作
if($_SESSION['logged_in'] == True){
echo 'logged in';
}
我知道这样做的方法是通过将会话锁定到IP地址和用户代理来生成安全ID,但是这到底是如何工作的呢?
也就是说,如果我能够猜出会话ID,我就能够设置$_ session‘login’= true并模拟登录吗?然后,我是否应该将会话变
浏览 4提问于2013-10-03得票数 6
回答已采纳
2回答
单点登录到现场
、、、、
我只需要一个标志就需要帮助。我有需要登录凭据的siteA.com,一旦您进入SiteA.com,您可以做许多事情,其中之一就是访问另一个应用程序siteB.com。如果单击该选项转到此另一个应用程序,则另一个应用程序还具有一个登录屏幕,其凭据与与siteA.com相同,因此siteA.com和siteB.com具有自己的登录屏幕,具有相同的凭据。
我试图把它作为一个单一的登录点,我是否可以远程登录或将凭据从siteA.com传递到siteB.com?
我感兴趣的是:解决完全相同的问题(实际上也适用于4个领域)。我想出的唯一解决方案是,在“成功登录页面”中包含3个隐藏的iframes,而那些if
浏览 4提问于2011-12-13得票数 2
回答已采纳
我不希望用户通过在浏览器中写入控制器的url来直接访问图像和媒体。
我正在使用Autorhizationfilter来检查用户是否已经登录并且应该有权查看图像或媒体,但是有没有一种方法可以查看用户是否直接通过浏览器请求控制器,或者请求是否嵌入到.cshtml或js文件中。
浏览 0提问于2010-12-28得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
