Mysql
 sql >> Datenbank >  >> RDS >> Mysql

PHP speichert Passwort in Cookie

Das sollten Sie niemals tun Klartext oder sogar entschlüsselbare Passwörter in Ihrer Datenbank speichern, es sei denn, Sie haben sie generiert und der Benutzer kann es nicht geben Sie einen benutzerdefinierten ein!

Die gebräuchlichste Methode ist das Speichern des Hash des Passworts im Cookie, das sich auch in der Datenbank befindet. Dies ermöglicht jedoch jedem, sich anzumelden, indem er nur den Hash kennt – ohne Zugriff auf das ursprüngliche Passwort. Gehen Sie also nicht diesen Weg, obwohl es offensichtlich der einfachste ist.

Ein sicherer Ansatz wäre, einen zufälligen, eindeutigen "Login-Hash" in der Datenbank zu speichern und diesen Hash plus die Benutzer-ID im Cookie zu setzen. Das würde nicht nur den Passwort-Hash für die Anmeldung unbrauchbar machen, sondern Ihnen auch ermöglichen, eine „Überall abmelden“-Funktion zu erstellen.