用session来进行身份验证(php+mysql环境),我的程序有严重漏洞,help me! 我想你session_register("sessionname");的內容應是用戶不知的內容,如name=别人的用户名 的 (别人的用户名之系統自動生成的12位id),別人就很難亂搞成功了。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 可不可以把USERNAME用隐藏的表单来传呢?而不把它放在明面(即?username)来传呢? 把用户名作为session存储,在要验证页面里直接取这个session里面存储的用户名.注意:最好用$_SESSION这个数组. 敏感的信息放在session中,必要的话还可以加密一下。不要用表单来传送。 session变量用$HTTP_SESSION_VARS[session];取出就不会有这问题了 判断$sessionname是否等于$name不过最好给session变量起名字时最好复杂些,防止被别人猜到,否则仍然可通过url传递,你的问题仍然解决不掉! 赞成用$HTTP_SESSION_VARS[session];把register_globals off之后比较安全一些.很多表单传递都多少不保险... 将一个类赋值的问题 eval 在实际应用如何? 求一条sql语句 二分法奇怪的问题? 在js中怎么取出php的变量值 php编程高手,请帮忙解决一个问题: 投票系统好难做啊........................ 有过付费租用空间经验的朋友请进 谁用PHP开发过虚拟主机系统VDS?谈一下经验? 奇怪啊,现在的怎么流行问问题都是给 0 分了…… 在 PHP 中,如何使用 JAVA BEANS,提供资料或者指示者有分! 请高手指教similar_text这个函数怎么用,请举个具体的例子!
来传呢?
注意:最好用$_SESSION这个数组.
不过最好给session变量起名字时最好复杂些,防止被别人猜到,否则仍然可通过url传递,你的问题仍然解决不掉!
把register_globals off之后比较安全一些.
很多表单传递都多少不保险...