011-如何让用户无法篡改cookie?

最新推荐文章于 2024-05-23 00:04:53 发布
最新推荐文章于 2024-05-23 00:04:53 发布
阅读量1.5k 收藏
点赞数
分类专栏: PHP 文章标签: php cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liguanjie8/article/details/79852399
版权 
<?php
/**
 * 如何让用户无法篡改cookie?
 * 提示:
 *      md5+salt应用于项目
 */

# ==  lib/config.php ================================================================================
return array(
    'host'=>'localhost',
    'user'=>'root',
    'password'=>'',
    'db'=>'blog',
    'charset'=>'utf8',
    'salt'=>'Lsd":Adfqef]',
);


# ==  func函数封装 ================================================================================
/**
 * md5加密用户名和盐
 * @param $name     用户名
 * @return string   加密后的用户名+盐
 */
function ccode($name){
    $cfg = include (ROOT.'./lib/config.php');
    $salt = $cfg['salt'];
    return md5($salt . '|' . $name);
}

/**
 * 检测用户是否登录(通过ccode防止用户伪造cookie)
 * @return bool
 */
function acc(){
    //如果两个cookie有一个不存在,则返回false
    if( !isset($_COOKIE['name']) || !isset($_COOKIE['ccode'])){
        return false;
    }
    return $_COOKIE['ccode'] === ccode($_COOKIE['name']);
}


# ==  login.php ================================================================================
setcookie('name', $user['name']);
setcookie('ccode', ccode($user['name']));
header('Location: artlist.php');

# ==  总结 ================================================================================

为什么不用session来加密?

session_id是随机生成的,别人很难伪造;session感觉上很省事;

但是用session的效率不如用cookie的高;

因为session放在服务器端,像大型的网站,每天的访问量成千上万上亿,一个目录下放置那那么多的session文件,再查询,会拖累服务器的效率;

cookie,它是由浏览器存储的,上亿个客户,上亿台浏览器,负担交给了浏览器,访问的时候带过来,带过来之后算一下就可以了




liguanjie8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie防伪造防修改
源码有毒的专栏
10-09 1万+
主要防止非法用户修改cookie信息,以及cookie的超时时间 传统cookie存储,Cookie(name, value),value很容易就被篡改。 防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime) signToken :签名密钥 由md5(value+saveTime+maxTime+”
修改cookie java_Java之道丨Cookie 防伪造 防修改-cookies设置
weixin_34511754的博客
02-27 677
Cookie 概述Cookie是什么? Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Cookie 包含每次用户访问站点时 Web 应用程序都可以读取的信息。为什么需要Cookie? 因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器。所以,需要额外的数据用于维护会话。Cookie 正是这样的一段随HTT...
Cookie 防伪造 防修改
qianfeng_dashuju的博客
06-26 634
  主要防止非法用户修改cookie信息,以及cookie的超时时间   传统cookie存储,Cookie(name, value),value很容易就被篡改。   防修改cookie存储,Cookie(name, value+“”+ signToken+“”+saveTime+“”+maxTime)   signToken :签名密钥 由md5(value+saveTime+maxT...
防止Cookie修改id欺骗登录
myyataoo的专栏
07-25 1404
笔者设计了自动重新申请session的机制(具体见前期文章),当session过期,可以创建新的session续航。在开发网站时,经常需要通过保存在Cookie中的id恢复Session登录。(3)需要通过cookie恢复网页时,将cookie中的验证串和通过用户表存储的check_key计算出来的验证串作比对,从而实现防欺骗。(2)将id和验证串check_code保存到cookie中,将check_key保存到用户表记录字段中。(6)Users类创建验证方法。...
记前端不能修改cookie
最新发布
ww_nxw的博客
05-23 211
cookie中key值JSESSIONID,被后端登录响应setcookie 设置为HttpOnly,估该cookie值 JSESSIONID 不允许被更改,导致setToken()出现未生效的现象。
cookie 修改不了
iteye_19848的博客
04-25 873
偶发现一个cookie问题,本地服务器端修改不了路径属性,直接上代码: Cookie cd = new Cookie("dddg3ddf34","dddddffff"); cd.setDomain("test.xxx.cn"); cd.setPath("/haha"); cd.setComment("dddfff"); getResponse().addCookie(cd); 页面...
ASP技术常遇问题解答-如何防止计数器刷新计数?.zip
03-23
用户访问页面时,检查Cookie中的计数器,但这种方法容易被用户篡改,不适用于需要准确统计数据的场景。 5. **结合IP地址**:可以结合用户IP地址进行计数,但这可能导致误判,因为多个用户可能共用同一IP(如公共...
php用户登录cookie信息安全分析
10-22
首先,Cookie信息加密是一种基本的安全措施,目的是防止未经授权的用户获取和篡改Cookie内容。文章中提到的加密函数`authcode`是一个示例,它使用了MD5哈希算法来创建动态密钥。这个函数将用户信息加密后再存储在...
基于Cookie劫持的Deep-Web用户数据安全性分析.pptx
06-21
Cookie存储在用户浏览器中,用于识别用户身份,而Session则在服务器端保存用户状态。然而,这种机制的缺点在于,如果Cookie信息被劫持,攻击者可以冒充合法用户,获取敏感数据。Cookie的获取方式多种多样,包括在...
Django Session和Cookie分别实现记住用户登录状态操作
09-16
2. 为了增加安全性,Django提供了`response.set_signed_cookie()`方法,它可以对Cookie值进行签名,防止篡改。需要提供一个盐(salt)参数,例如: ```python response.set_signed_cookie('login', 'yes', salt='SSS...
sso-user-cookie.zip
10-13
- 它可以被用于SSO,因为其包含了用户身份信息且能被签名,确保数据的完整性和不可篡改性。 - JWT由三部分组成:Header、Payload(载荷)和Signature,它们被Base64编码并用"."分隔。 - 在SSO中,Payload通常包含...
最全如何安全的处理cookie,不让cookie被利用
10-12
史上最全如何安全的处理cookie,不让cookie被利用最全如何安全的处理cookie
Cookie篡改机制
热门推荐
AdleyTales的技术博客
06-19 1万+
一、为什么Cookie需要防篡改 为什么要做Cookie篡改,一个重要原因是 Cookie中存储有判断当前登陆用户会话信息(Session)的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求,HTTP请求头会带上CookieCookie里面就包含有SessionID。 后端服务根据SessionID,去获取当前的会话信息。如果会话信息存在,则代表该请求的用户已经登陆。 服...
cookie失效要注意的问题
linkedin_38250634的博客
04-10 9675
cookie失效要注意的问题 下面的代码无法cookie 失效,   因为保存的cookie 设置了path, 失效时没有设置path, 所以无法cookie 失效, 注意:想让cookie 失效,除了设置有效期为0,其他参数(path,domain)必须完全一样, 正确的地址: Java代码   /***
v-html恶意攻击和cookie的关系
06-08
用户访问包含恶意代码的页面时,恶意代码可以通过JavaScript获取用户cookie信息,进而进行恶意操作,例如冒充用户身份进行操作、篡改用户数据等。 为了避免这种情况的发生,我们需要在使用v-html指令时,进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值