php 设置用户自动登录

(转自本人的百度空间)

网站经常要有自动登录功能，搜索大家的代码可以发现基本上都是用cookie做的。我也仿照编码设置了userid和password，但是重新访问时，总是索取不到所设置的cookie。但是用浏览器的cookie查看器可以看到cookie中是用userid的。

经过研究发现，setcookie方法的可选函数中包括了路径信息，如果不写的话默认是当前文件的路径。比如用户登录页面login位于localhost/user/login.php。则cookie的保存路径为/localhost/user/下，但是从安全的角度，并不是每个路径都可以被用户访问，因此在其他页面比如index中就不能访问到$_COOKIE['userid']，所以在设置cookie时可以指定路径为根目录，这样所有的页面都可以检测到cookie.

设置：

setcookie("userid",$userid,$expire_time, "/");//$userid为用户名，$expire_time为过期时间

setcookie("password",md5($password),$expire_time, "/");//密码用md5进行加密

销毁：

setcookie("userid","",time()-3600, "/");

setcookie("password","",time()-3600, "/");

实际代码中，假如用户点击了保存密码，则将用户的用户名和加密后的密码放入cookie。用户重新访问网页时，可以先判断cookie是否存在，如果存在则取出cookie中的用户名，在数据库中查询到密码，利用md5计算后与cookie中保存的密码信息比较，就可以判断信息是否正确，假如正确则自动登录，并写入session信息。

-----------------------------------------------------------------------

上面的方法没有考虑安全性，在实际操作中，不应该保存用户的密码，可以用一个专门的表记录用户的id和自动登录验证信(key)，失效时间(deadtime)，key可以采用随机字符串，比如8位随机字符串，然后将使用 salt+key+time的串再进行md5加密后存入本地，同时存放用户id到本地。用户访问时，如果检测到用户的cookie，则查询数据库中是否有相应的用户信息，如果有，取出key和time，与salt拼接后计算md5值进行验证。如果通过则设置session，如果不通过或者已经过期则提示登录，并删除cookie和数据库信息。

PS ，salt是一个保存在服务器的随机字符串。工作人员通过修改salt可以使所有的自动登录全部失效，从而降低在信息泄漏时的安全风险。