防止session和cookie欺骗

在网上找了好久,貌似除了在数据库里加个随机字符串来验证外,没有任何其他方法了。我的方法是用户每次登录时把Cookie里的PHPSESSID写进数据库,在每个页面读cookie时,和数据库对比一下(当然包括其他的字段),这样可以实现,只能一台机器同时登录,后面登录,前面的cookie就失效,PHPSESSID是PHP自动随机生成的,没有规则。

© 2012, 冰冻鱼. 请尊重作者劳动成果,复制转载保留本站链接! 应用开发笔记