Какие проверки мне нужны для входа пользователя с помощью PHP?

Question

Я пытаюсь написать страницу, которая позволяет пользователю оставаться в системе. Достаточно ли просто установить переменную сеанса, если у сайта есть SSL?Я проверяю переменную сеанса, которая просто говорит, что человек вошел в систему.

 $_SESSION['LOGIN'] = true;

На каждой странице я просто проверяю, установлено ли это значение.Если так, дайте им доступ.Если нет, откиньте их назад, чтобы войти.Достаточно ли безопасности с SSL?Или есть какие-то другие проверки, которые я должен делать?

Answer 1

Сеансы хранятся на сервере, поэтому в этом случае SSL не имеет значения. SSL защищает пользователя от обмана, когда прокси-сервер заменяет транзитную страницу своей собственной для кражи информации. SSL предотвращает это путем шифрования страницы. Сессия никогда не передается. Этого будет достаточно, но если вы хотите быть действительно безопасным, вы можете повторно выполнять аутентификацию при каждой загрузке страницы, используя имя пользователя и пароль, сохраненные в сеансе.

Answer 2

Если ваша система допускает только зарегистрированных пользователей, т. Е. Каждый должен войти в систему аутентификации, тогда вам необходимо убедиться в следующем:

1. Когда пользователь входит в систему: введите имя пользователя и пароль и нажимает кнопку ввода, если они нажимают кнопку возврата (в браузере), они автоматически выходят из системы. Если нет, кто-то может войти в систему, нажать кнопку «Назад» и интерпретировать, что они вышли из системы, покинуть свой рабочий стол, а кто-то еще нажимает кнопку «Вперед» и получает несанкционированный доступ.

2. Когда пользователь выходит из системы, если он нажимает кнопку «Назад», он перенаправляется на страницу индекса. Если нет, кто-то может выйти из системы, оставить свой рабочий стол, кто-то еще нажмет кнопку «Назад» в браузере и получить доступ к системе.