寫程式也有那麼幾年頭了,架構用的久,原生Session這塊幾乎沒做過什麼研究,現在突然想起來,還真有個小疑問:
我一般驗證是否登陸類似這樣寫:
驗證:
if(!checkV($_GET['username']) || !checkV($_GET['password'])){ return false;}if($username == $_GET['username'] && $password == $_GET['password']){ $_SESSION['islogin'] = 1;}
狀態驗證:
function checkLogin(){ if(empty($_SESSION['islogin'])) { return false; } return true;}
我總感覺這麼寫是不是太簡單了? 安全方面自己心裡沒點低,但是這個方法用了挺久也沒出過啥問題,望批評指教!
回複內容:
寫程式也有那麼幾年頭了,架構用的久,原生Session這塊幾乎沒做過什麼研究,現在突然想起來,還真有個小疑問:
我一般驗證是否登陸類似這樣寫:
驗證:
if(!checkV($_GET['username']) || !checkV($_GET['password'])){ return false;}if($username == $_GET['username'] && $password == $_GET['password']){ $_SESSION['islogin'] = 1;}
狀態驗證:
function checkLogin(){ if(empty($_SESSION['islogin'])) { return false; } return true;}
我總感覺這麼寫是不是太簡單了? 安全方面自己心裡沒點低,但是這個方法用了挺久也沒出過啥問題,望批評指教!
沒有問題。心放到肚子裡。
最簡單的模式就是這樣的。其它搞得再複雜還是這樣。
你的已經是最佳實務了。
驗證之後,存入session,思路沒有問題啊。把一些細節完善下就更好了
邏輯上沒問題,不過islogin這個沒什麼意義啊,不如在session裡面寫入uid或者username,到時候通過這個session值是否存在來判斷使用者是否登入,其它程式部分需要username的時候還能直接調用$_session['username']這個變數