我需要设置一个cookie来保持用户登录状态.我要哈希用户名,密码和IP.我的代码:
login process:
$hashed = md5($username.$pwd.IP);
setcookie('userstate', $username.':'.$hashed);
restore user state:
$vars = split(':', $_COOKIE['userstate']);
pseudo: get user with username in $vars[0]
$hashed = md5($username.$pwd.IP);
if($hashed == $vars[1]) return true;
else return false;
这种方式对XSS攻击安全吗?
只有在向客户端输出内容时才可能发生XSS攻击.因为你不是,所以不可能.
另一个攻击向量是SQL注入.您不能相信$ _COOKIE值的输入.所以当你试图从数据库中获取信息时,你必须逃避它.
京公网安备 11010802040832号 | 京ICP备19059560号-6 