2.cookie与session
cookie可以保存用户名,其他都不保存,session相对来说可以保存所有的
密码源码首先的md5,然后用password_hash()进行转码,然后用hash特有的密文比较方式比较,不要存储明文到数据库,为了有一天你的数据库被人一锅端的时候,他看到的只是一堆密文.
3.数据库
每个表用一个密文,加密所有字段的数据,只要用户能写入,更新的字段都是这样保存密文.写一个通用加密与解密函数,放在项目的common.php中,在控制类或是自定义类的__construct()中写判断是否登录等等验证操作.
每个控制器类的方法,除了必须对外访问的,比如查询更新,全部改成private function 方式.这样就可以防止继承,权限下移越权.
4.思考让人进步!有说的不正确的地方,一起讨论
最佳答案
