(转自本人的百度空间)
网站经常要有自动登录功能,搜索大家的代码可以发现基本上都是用cookie做的。我也仿照编码设置了userid和password,但是重新访问时,总是索取不到所设置的cookie。但是用浏览器的cookie查看器可以看到cookie中是用userid的。
经过研究发现,setcookie方法的可选函数中包括了路径信息,如果不写的话默认是当前文件的路径。比如用户登录页面login位于localhost/user/login.php。则cookie的保存路径为/localhost/user/下,但是从安全的角度,并不是每个路径都可以被用户访问,因此在其他页面比如index中就不能访问到$_COOKIE['userid'],所以在设置cookie时可以指定路径为根目录,这样所有的页面都可以检测到cookie.
设置:
setcookie("userid",$userid,$expire_time, "/");//$userid为用户名,$expire_time为过期时间
setcookie("password",md5($password),$expire_time, "/");//密码用md5进行加密
销毁:
setcookie("userid","",time()-3600, "/");
setcookie("password","",time()-3600, "/");
实际代码中,假如用户点击了保存密码,则将用户的用户名和加密后的密码放入cookie。用户重新访问网页时,可以先判断cookie是否存在,如果存在则取出cookie中的用户名,在数据库中查询到密码,利用md5计算后与cookie中保存的密码信息比较,就可以判断信息是否正确,假如正确则自动登录,并写入session信息。
-----------------------------------------------------------------------
上面的方法没有考虑安全性,在实际操作中,不应该保存用户的密码,可以用一个专门的表记录用户的id和自动登录验证信(key),失效时间(deadtime),key可以采用随机字符串,比如8位随机字符串,然后将使用 salt+key+time的串再进行md5加密后存入本地,同时存放用户id到本地。用户访问时,如果检测到用户的cookie,则查询数据库中是否有相应的用户信息,如果有,取出key和time,与salt拼接后计算md5值进行验证。如果通过则设置session,如果不通过或者已经过期则提示登录,并删除cookie和数据库信息。
PS ,salt是一个保存在服务器的随机字符串。工作人员通过修改salt可以使所有的自动登录全部失效,从而降低在信息泄漏时的安全风险。