Question

Я создаю веб-сайт для развлечения, у меня есть вопрос, и я не знаю, где искать ответ.

При успешном входе в систему я устанавливаю сеанс с электронной почтой пользователя, а затем использую его для извлечения необходимых данных из mysql. Есть ли минусы в этом? Или лучше добавить адрес электронной почты пользователя в URL?

Насколько безопасно хранить электронную почту пользователя в сеансе? Я думал о хешировании сеанса, но это также означало бы хеширование при регистрации / входе в систему и т. Д., Так что даже если файл сеанса можно было просмотреть, потребуется серьезный взлом, чтобы получить письмо?

И как часто люди хешируют и пароль, и электронную почту? Это действительно нужно ??

ty812 · Answer 1 · 26 августа 2011

Неправильно добавлять любую личную информацию в URL для авторизации.Я бы пошел с хешированием учетных данных пользователя, с псевдослучайной солью.

Вы должны действительно salted-hash наконец пароль, как только вы его получите в первый раз - и никогда больше не использовать открытый текст pw

Вытащить информацию о пользователях из таблицы mysql, используя $ _SESSION или $ _GET, PHP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Вытащить информацию о пользователях из таблицы mysql, используя $ _SESSION или $ _GET, PHP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов