讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
首页 > 后端开发 > php教程 > 正文

利用cookie机制回验证用户登录是不是有漏洞

php中文网
发布: 2016-06-13 11:15:47
原创
1055人浏览过

利用cookie机制来验证用户登录是不是有漏洞?
问个很弱的问题!

如果A访问某网站,网站把加密的token写入它的cookie,以后访问时A带上cookie里面的token都可以了,这样的话,如果我把A浏览器中的这个token通过某种手段放到我的浏览器cookie里面,忌不是就可以伪造成A的身份了???

是不是有漏洞,或大家指导一下,这个登录验证正确的手段是怎样的,请赐教,谢谢!


------解决方案--------------------
你所說的基本屬實,你看看這個
http://bbs.phpchina.com/thread-217757-1-1.html
------解决方案--------------------
那得关键看这个加密是怎么个加密法了...
------解决方案--------------------
所以才有“cookie欺骗”
------解决方案--------------------
没错,这就是cookie欺骗,所以要小心被不良网站截获cookie。

qq有个好友印象的功能,我曾经抓包分析过,它的身份验证也是用cookie。然后找了个朋友,把他qq的cookie拷贝过来,模拟请求对别人进行好友印象评价。结果就这样成功了。这是几年前的事了,不知道现在它是否改了验证机制。

以前dvbbs也曝出过一个非常单纯的cookie验证漏洞。他直接把每个用户的所有信息,包括权限,就放在cookie中了,而且没加密,就那么简单的将用户id、密码、权限等打乱顺序排列了一下。然后只需要找到那个标识权限的字符,修改为管理员级别的,任何人都是管理员了。
------解决方案--------------------
单纯靠cookie是要出问题的。
相关标签:
cookie

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:求高人指点qq空间的留言板那种数据库是如何设计的 下一篇:php怎么获取真实IP
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
php数组each保存变量_php数组遍历数据存储技巧【教程】 PHP中数组转变量有五种方法:一、each+list(已废弃);二、foreach+$$动态变量;三、extract函数批量导入;四、array_keys/array_values分离键值;五、compact反向收集变量。
2025-12-21 13:26:02
172
php对象数组写入文件_序列化保存对象数组到文件【方法】 PHP对象数组持久化需序列化为字符串存文件,方法有五:一、serialize+file_put_contents;二、json_encode(需JsonSerializable);三、var_export生成PHP代码;四、SplObjectStorage保引用;五、__sleep/__wakeup控属性。
2025-12-21 11:10:03
886
php怎么打印数组中的元素_PHP打印数组内各个元素 推荐使用print_r函数调试数组,它以可读格式递归显示键值对和嵌套结构;var_dump可精确展示数据类型;foreach适合自定义输出;json_encode便于跨系统传输;var_export生成可复用的PHP代码。
2025-12-21 09:34:56
165
php二维数组判断长度_php多维数组大小获取技巧【解析】 PHP二维数组大小获取方法:一、count($arr)得行数,count($arr,COUNT_RECURSIVE)得递归总数;二、遍历取max(count($row))得最大列数;三、array_map(‘count’,$arr)得各行列数;四、reset+count得首行列数;五、is_array校验后分段计数。
2025-12-21 08:55:50
798
php获得数组中的索引_php数组键名获取操作指南【解析】 array_keys()可提取全部键名或按值筛选键名;foreach适合逐个处理键名;key()与next()组合实现手动遍历;get_object_vars()用于获取对象属性名。
2025-12-21 08:37:03
885
php数组怎么转换成字符串_PHP实现数组到字符串的转换 PHP数组转字符串有五种常用方法:一、implode()用分隔符连接值;二、json_encode()生成JSON格式;三、serialize()生成PHP专用序列化字符串;四、var_export()输出可执行PHP代码;五、foreach手动拼接定制格式。
2025-12-20 23:59:11
535
php怎么输出一个数组aab_php输出数组aab索引定位与echo拼接法【技巧】 需根据数组类型选择对应方法:索引数组用下标拼接(如echo$aab[0].$aab[1].$aab[2]),关联数组用键名拼接(如echo$aab[‘first’].$aab[‘second’].$aab[‘third’]),动态长度则用for循环遍历拼接。
2025-12-20 23:59:02
178
php源码怎么加mv_php源码加mv播放与兼容设置【技巧】 答案:通过在PHP中嵌入HTML5视频标签并配置服务器MIME类型,可实现MV播放功能;需调整PHP内存与执行时间限制以支持大文件处理;结合响应式布局与多格式编码确保跨设备兼容播放。
2025-12-20 23:58:02
674
php往数组中添加数据步骤_php数组元素追加方法详解【教程】 PHP中向数组追加元素有五种方法:一、array_push()在末尾添加多个元素;二、[]语法高效添加单个元素;三、array_merge()合并数组并重排索引;四、+运算符合并关联数组且保留左侧键;五、array_unshift()在开头插入元素。
2025-12-20 23:57:07
348
循环数组发送到php页面_数组数据传递页面方法【教程】 可通过五种方法将循环生成的数组发送至PHP处理:一、POST表单提交(name="arr[]");二、JSON+AJAX异步传输;三、URL参数拼接(需urlencode);四、隐藏iframe动态表单提交;五、Session中转存储。
2025-12-20 23:57:07
567
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部