开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用Cookie和Salted Hashes的PHP登录系统

在这个问答内容中，我们将讨论使用Cookie和Salted Hashes的PHP登录系统。

首先，我们需要了解Cookie和Salted Hashes的基本概念。

Cookie：Cookie是一种存储在用户浏览器上的小型文本文件，用于存储用户的偏好设置和登录信息等。Cookie可以在服务器和客户端之间进行传递，以实现用户的状态识别和个性化服务。

Salted Hashes：Salted Hashes是一种加密技术，通过将用户密码与随机生成的字符串（盐值）结合，然后对其进行哈希（散列）处理，以提高密码的安全性。Salted Hashes可以有效防止彩虹表攻击和暴力破解攻击。

现在，我们来看一个使用Cookie和Salted Hashes的PHP登录系统的简单示例：

<?php
session_start();

// 连接数据库
$conn = new mysqli('localhost', 'username', 'password', 'database');

// 检查连接是否成功
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// 当用户提交登录表单时
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $username = $_POST["username"];
    $password = $_POST["password"];

    // 从数据库中获取用户信息
    $sql = "SELECT id, username, password_hash FROM users WHERE username = ?";
    if ($stmt = $conn->prepare($sql)) {
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();

        // 验证用户名和密码
        if ($stmt->num_rows == 1) {
            $stmt->bind_result($id, $username, $password_hash);
            $stmt->fetch();

            if (password_verify($password, $password_hash)) {
                // 密码验证成功，设置Session
                session_regenerate_id();
                $_SESSION["loggedin"] = true;
                $_SESSION["id"] = $id;
                $_SESSION["username"] = $username;

                // 设置Cookie
                setcookie("username", $username, time() + (86400 * 30), "/"); // 86400 = 1 day

                header("location: welcome.php");
            } else {
                echo "密码错误";
            }
        } else {
            echo "用户名不存在";
        }

        $stmt->close();
    }
}

$conn->close();
?>

在这个示例中，我们首先连接到数据库，然后在用户提交登录表单时，从数据库中获取用户信息。接下来，我们使用password_verify()函数验证用户提交的密码是否与数据库中存储的Salted Hashes匹配。如果验证成功，我们将设置Session和Cookie，并将用户重定向到欢迎页面。

这个示例仅供参考，实际应用中可能需要进行更多的安全措施和错误处理。

在这个问答内容中，我们没有涉及到云计算相关的知识，因此不需要提及云计算品牌商。

相关搜索:Cookie文件未生成PHP和cURL从远程站点登录 mySql和PHP语言的登录系统 php中cookie的使用 PHP使用curl自动登录和重定向 PHP和MySQL登录/注册系统无法正常工作 PHP登录系统-实现HTML的适当方式使用<parameter> NULL和"isset(<parameter>)“时设置的PHP Cookie 使用cookie和Flask实现简单登录页面使用mysql的php登录表单使用PHP MySQL和SQLite登录和注册Android失败

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

自定义Django的密码策略

Django 从1.4 版本开始，包含了一些安全方面的重要提升。其中一个是使用 PBKDF2 密码加密算法代替了 SHA1 。另外一个特性是你可以添加自己的密码加密方法。 Django 会使用你提供的第一个密码加密方法（在你的 setting.py 文件里要至少有一个方法） 1 2 3 4 5 6 7 8 PASSWORD_HASHERS = ( 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.

07

【说站】php Mhash算法的加密

1、Mhash提供了一个非常方便的 Salted S2K 算法可以用来方便地生成一套非常方便地密码加密内容。

02

一文带你了解数据保护的重要性

这样吧！小七举个小栗子，我们在正规官网下载软件的时候，打开下载页面的时候，网站一般都会公布文件的Hash值，常见的就是MD5和SHA1等等，用户下载完毕之后打开文件检验器对比Hash值，以此来进行文件的完整性检验。

02

Jarvis OJ Writeup

header 头里面发现 hint: “select * from `admin` where password=’”.md5($pass,true).”‘“

03

Kali Linux Web 渗透测试秘籍第七章高级利用

这一章中，我们会搜索利用，编译程序，建立服务器以及破解密码，这可以让我们访问敏感信息，并执行服务器和应用中的特权功能。

02

我用Python采集了班花的空间数据集，除了美照竟然再一次发现了她另外的秘密！[通俗易懂]

室友知道了我上次给班花修过电脑，追了我三条街，嘴里大骂我不当人子，怪我这种事情没带他。最后又舔着脸求我支招，这货竟然想追班花！辣条我为了兄弟两（收）肋（钱）插（办）刀（事），毫不犹豫的答应了。但是我只有班花的QQ和微信怎么办呢，那就从她平时发的动态着手，于是就有了这篇文章，不过最后我又发现了她的另一秘密！

02

解决Django提交表单报错:CSRF token missing or incorrect的问题

通常，当存在真正的跨站点请求伪造时，或者Django的CSRF机制没有被正确使用时，就会出现这种情况。至于邮递表格，你须确保:

03

一文带你了解数据保护的重要性

相信不小心点进来的客官，要么是已经从事数据分析的，要么是打算找一份这样工作的你，或多或少都了解数据保护的重要性。

02

35c3CTF junior 部分web wp

一眼就看到两个弱等于而且\$和\$ua都是可控的先过第一条 md5($_)+$_[0]==md5($ua) 因为 $_是个数组所以md5($_)是null获得的值其实是\$[0] 不过flag的值是不知道的最后 $_[0]==md5($_[0].$flag)[0]只能靠暴力破解了

02

PHP中Session ID的实现原理实例分析

本文实例讲述了PHP中Session ID的实现原理。分享给大家供大家参考，具体如下：

02

PHP的Mhash扩展函数的学习

这次我们要学习的又是一个 Hash 加密扩展。不过这个扩展 Mhash 已经集成在了 Hash 扩展中。同时也需要注意的是，这个扩展已经不推荐使用了，我们应该直接使用 Hash 扩展中的函数来进行 Hash 加密操作。所以，我们今天仍然是以学习为目的的进行了解。关于 Hash 扩展的内容，我们可以查看之前的文章：PHP的Hash信息摘要扩展框架。

02

你不知道的Cypress系列（1） --鸡肋的BDD

Behavioural Driven Development (BDD)是从TDD发展来的（什么，TDD你都不知道？！），它通过自然语言定义系统行为，以功能使用者的角度，编写需求场景，且这些行为描述可以直接形成需求文档，同时也是测试标准。

02

【内网安全】横向移动&PTH哈希&PTT票据&PTK密匙&Kerberos&密码喷射

IPC，WMI，SMB，PTH，PTK，PTT，SPN，WinRM，WinRS，RDP,Plink，DCOM，SSH；Exchange，LLMNR投毒，Plink，DCOM，Kerberos_TGS，GPO&DACL，域控提权漏洞，约束委派，数据库攻防，系统补丁下发执行，EDR定向下发执行等。

01

NJCTF Web部分writeup

又到了一年一度的比赛季，这次打了打赛宁自己办的NJCTF，这里稍微整理下Web部分的wp，虽然不知道题目是谁出的，但是我觉得大部分题目还是挺蠢的…看的人从中汲取自己想要的知识就好。

02

PHP中的Session工作机制与Session ID的实现原理

客户端第一次访问某服务器，为每个访问者创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，亦或通过 URL 进行传导。

02

详解cookie验证的php应用的一种SSO解决办法

详解cookie验证的php应用的一种SSO解决办法近日，项目中需要接入一个“年久失修”的PHP应用，由于系统已经建设多年，并且是信息中心自己的人通过某些工具弄出来的，而且是本人未真正接触过的PHP写的，而且跟我们的系统不在同一服务器上也就是存在跨域的问题，想通过客户端模拟登录的方式来实现，但是总是不成功。

02

Sqlmap注入使用技巧总结

Sqlmap是一种开源的渗透测试工具，可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令，具体细节可参考官方地址[1]，Github地址[2],中文使用说明[3]、sqlmap使用笔记[4]

01

挖洞经验 | 看我如何通过子域名接管绕过Uber单点登录认证机制

Uber使用Amazon CloudFront CDN架构的网站saostatic.uber.com存在子域名安全漏洞，可被攻击者接管。另外，Uber近期部署在网站auth.uber.com上，基于Uber所有子域名cookie共享实现认证的单点登录系统（SSO）也存在安全问题，攻击者可通过入侵控制任意一个*.uber.com子域名进行会话cookie窃取。因此，这两个问题的综合应用将造成对Uber整个SSO系统的身份认证绕过，实现对所有Uber子域名网站的访问控制，影响甚大。目前，通过我的漏洞发现，U

05

某厂2016实习招聘安全技术试题答案及解析

0×00 前言鉴于曾经做过某厂招聘-安全技术笔试题目，故留此一记，以作怀念。此外，网上也有公布的相关的答案，但是其中有些题目稍有错误或者解释不全，当然我也有可能解释有误，希望大家多多在评论区中指出，所以趁机写上一记。 0×01 开始 2016年4月2日晚上7:00到9:00，某厂2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题，题量是45，限时80分钟。第二部分是2道分析题，限时40分钟。有下面统一给出答案和为每一题做出解释

04

PHP实现简单登录界面

若勾选7天内自动登录，则会将登录信息通过Cookie和Session技术保存在本地Cookie文件中，7天内会自动登录。

02

红队常用命令

如下编码网站： https://ares-x.com/tools/runtime-exec/ https://r0yanx.com/tools/java_exec_encode/ https://www.bugku.net/runtime-exec-payloads/

05

【PHP小课堂】深入学习PHP中的SESSION（二）

今天的学习内容没有太多的代码，主要还是以理论经验为主，当然，主要的依据还是来源于 PHP 官方文档中的说明。在日常的业务开发中，SESSION 安全一直是我们最主要也是最关心的内容，不管是面向前端的用户还是面向后台的管理员，SESSION 泄露可能都会带来严重的问题。这是我们需要重点的考虑的内容之一。

01

记一次菠菜论坛的渗透测试经历【转载】

平时上下班，趁着周末休息日个站来放松一下，（才不是被逼的）呜呜呜~，打开fofa想找找遍历，弱口令什么的，刷刷排名，看能不能找到权重高点的，攒攒积分嫖张京东卡,业余选手，生活所迫啊！

05

WordPress RegistrationMagic V 5.0.1.5 SQL 注入

# 文档：https://github.com/Hacker5preme/Exploits/blob/main/Wordpress/CVE-2021-24862/README.md

04

【黄啊码】php商城搭建从0到n，可用于毕业设计

大家好，我是黄啊码，快接近五六月份，毕业季的来临，是否毕业设计还没着落呢？跟着黄啊码一起来做个php商城吧，讲课前先给大家看个图，这是市面上比较常用微商城脑图：

01

解决nginx负载均衡的session共享问题

查了一些资料，看了一些别人写的文档，总结如下，实现nginx session的共享

04

解决nginx负载均衡的session共享问题

查了一些资料，看了一些别人写的文档，总结如下，实现nginx session的共享

01

米斯特白帽培训讲义漏洞篇越权

越权漏洞是 Web 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是开发人员在对数据进行增、删、改、查时对客户端请求的数据过于信任而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。

04

在 PHP 中使用和管理 Session

与 Cookie 一样，Session 技术也是用于解决 HTTP 协议无状态的问题，不过，与 Cookie 数据保存在客户端不同，Session 数据存储在服务端，然后通过分配一个全局唯一的 ID 与特定用户关联（通常在用户认证通过后分配），但 Session 又与 Cookie 紧密关联，因为这个 Session ID 通常会存储到 Cookie 中，在其生命周期内，用户发起请求时就会带上它，这样服务端通过解析存储在 Cookie 中的 Session ID 就能识别特定的客户端用户，并返回与之关联的 Session 数据，比如前面提到的电商网站中的购物车数据。

03

Cookie禁用了，Session还能用吗？原因详解

Cookie与 Session，一般认为是两个独立的东西，Session采用的是在服务器端保持状态的方案，而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢？因为Session是用Session ID来确定当前对话所对应的服务器Session，而Session ID是通过Cookie来传递的，禁用Cookie相当于失去了Session ID，也就得不到Session了。是不是Cookie让禁用了，Session就一定不能用了呢？

03

【黄啊码】php商城搭建从0到n

大家好，我是黄啊码，快接近五六月份，毕业季的来临，是否毕业设计还没着落呢？跟着黄啊码一起来做个php商城吧，讲课前先给大家看个图，这是市面上比较常用微商城脑图：

04

Guid for Hashcat

Hashcat自称是世界上最快的密码破解工具，在2015年之前为私有代码库，但现在作为免费软件发布，适用于Linux，OS X和Windows版本，Hashcat支持的散列算法有Microsoft LM哈希、MD4、MD5、SHA系列、Unix加密、MySQL和Cisco PIX等，Hashcat支持以下计算核心：

02

web安全（入门篇）

web安全的概念太过于宽泛，博主自知了解的并不多，还需要继续学习。但是又想给今天的学习进行总结，所以今天特分享一篇关于web安全的文章，希望对初次遇到web安全问题的同学提供帮助。

03

接管typecho通知提醒

在typecho的后台进行登录，启动插件，启动模板，修改模板等等的时候，系统都会发出通知，如：密码错误，插件启动成功等等通知提醒！

04

Thinkphp实现子域名共享Session登录

为了部署同个域名下不同子级域名共享会话，从而实现单点登录的问题，一处登录，同域处处子系统即可以实现自动登录。

01

Wordpress Plugin 404 to 301 2.0.2 SQL-Injection

# 文档：https://github.com/Hacker5preme/Exploits/blob/main/Wordpress/CVE-2015-9323/README.md

01

PHP实现cookie跨域session共享的方法分析

本文实例讲述了PHP实现cookie跨域session共享的方法。分享给大家供大家参考，具体如下：

03

Kali Linux Web 渗透测试秘籍第六章利用 -- 低悬的果实

这章开始我们会开始涉及渗透测试的的利用层面。和漏洞评估的主要不同是，漏洞评估中测试者识别漏洞（多数时间使用自动化扫描器）和提出如何减轻它们的建议。而渗透测试中测试者作为恶意攻击者并尝试利用检测到的漏洞，并得到最后的结果：整个系统的沦陷，内部网络访问，敏感数据泄露，以及其它。同时，要当心不要影响系统的可用性或者为真正的攻击者留下后门。

02

使用php的curl爬去青果教务系统课表(转)

首先我们要了解 Http Cookie 的作用（可参考HTTP cookies 详解），简单来说就是维持一个会话，这样我们就能在登陆一个网页后，就能进入这个网页需要登陆的界面。

02

php实现SESSION跨域

稍微大一点的网站，通常都会有不只一个服务器，每个服务器运行着不同的功能模块或者不同的子系统，他们使用不同的二级域名，比如www.a.com、 i.a.com、bbs.a.com。而一个整体性强的网站，用户系统是统一的，即一套用户名、密码在整个网站的各个子系统中都是可以登录使用的。各个服务器共享用户数据是比较容易实现的，只需要在后端放个数据库服务器，各个服务器通过统一接口对用户数据进行访问即可。但还存在一个问题，就是用户在 i.a.com登录之后，进入www.a.com时，仍然需要重新登录，基本的通行证的问

04

Windows认证原理解析基础入门

本文借鉴安全界各位大佬所写的Windows认证入门科普（它们的站点我附在来源）对其中的知识点做了一个整理总结，同时复现里面的算法方便以后自己理解以及在其他域渗透/内网渗透方式中提供基础知识，这篇文章很适合小白入门Windows认证协议简单明了;

01

PHP Cookie处理函数

cookie是服务器留在客户端的用于识别用户或者存储一些数据的小文件（注意，session存储在服务器端，这是两者的区别之一）。我们平时登录某门户时，会有选项“是否保存登录”或者“下次自动登录”，当我们勾选了之后，服务器就会在我们的浏览器创建cookie文件来保存我们的信息。每当计算机通过浏览器请求页面时，它会同时发送cookie。通过PHP，可以创建并取回cookie的值。cookie在web中是很重要的角色，早在网景浏览器的时候就产生了cookie。cookie经常被用于用户验证系统。

02

【已解决】帝国CMS设置cookie子域名共享

今天是接触帝国cms的第三天，涉及到了一个问题，系统目前有一个主站和一个论坛二级站，希望是在主站登录之后再二级站点也能够直接登录，不需要进行二次操作了。这是第一个需求。接下来会完善主站和disscuz论坛之间的登录会话共享问题。

00

PHP第五节

学生管理系统2.0基本功能基本功能添加学生功能展示学生列表功能删除学生功能查看学生详情更新学生数据实现思路注册功能思路：表单设计，点击提交按钮向服务器提交表单数据在后台获取表单提交的数据，保存到数据库中先获取表单的标签的数据保存上传的图片（并保存图片存储的路径）将表单的数据和图片的路径一起保存到数据库中保存完成，跳转到列表页，查看新添加的数据展示功能思路：先从数据库中获取数据（二维数组arr）遍历二维数组，将数组中数据渲染到页面中删除功能思路：获取要删除数据的id

02

如何用0day漏洞黑掉西部数据NAS存储设备

我们以入侵和破解设备为乐，今天，要向大家展示的是近期我们对西部数据（Western Digital ）网络存储设备（NAS）的漏洞发现和入侵利用过程。点击阅读原文观看入侵视频。漏洞发现去年年中，我打算入手一台支持硬件解码的NAS存储来搭建Plex流媒体服务平台，经过一番比较，在一位朋友的推荐下，我选择了西部数据（Western Digital ）的MyCloud PR4100，该存储设备完全满足我所有的功能需求。把该设备添加进网络之后，可以通过一个Web界面访问登录，由于我对使用设备有安全洁癖，所以

09

注意！没想到这个开源系统存在34个严重漏洞

我们发现定义了一个 r ，并且使用 GET 方式传输，只用了一个 addslashes(返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上反斜线。这些字符是单引号、双引号、反斜线或NULL等)。

01

PortSwigger之不安全的反序列化+服务器端模板注入漏洞笔记

本文仅供学习参考，其中涉及的一切资源均来源于网络，请勿用于任何非法行为，否则您将自行承担相应后果，我不承担任何法律及连带责任。一、Insecure deserialization 01 Modifying serialized objects 描述本实验使用基于序列化的会话机制，因此容易受到权限提升的影响。为解决实验室，编辑会话cookie中的序列化对象以利用此漏洞并获得管理权限。然后，删除 Carlos 的帐户。您可以使用以下凭据登录自己的帐户：wiener:peter 解决方案此实验与权限提升有

01

蛙啊！老母亲给你整理了DEDECMS漏洞集合，快回家！

最近dedeCMS爆了好多洞(0day)，于是将最近的漏洞进行复现和整理便成为了本篇漏洞集合。期待师傅们的指导与交流。 cookie伪造导致任意前台用户登录 0x00 相关环境源码信息：DedeCMS-V5.7-UTF8-SP2-20180109 问题文件： \DedeCMS-V5.7-UTF8-SP2\uploads\member\index.php 漏洞类型：cookie伪造导致前台任意用户登录站点地址：http://www.dedecms.com/ 0x01 漏洞分析在文件\Dede

07

PHP在同一域名下两个不同的项目做独立登录机制详解

前言目前有这样一个需求，在一个域名下如：http/【php教程_linux常用命令_网络运维技术】/://example.com 下，有两个项目，example.com/a/,example.com/b/，这两个项目是相互独立的程序，有不同的会员登录机制，但是我们知道，在同一个域名下，它的 session 会话是共享的，也就是你在a站登录后，b站也会出现你在a站的session信息，因为默认的 session_id 名字是 PHPSESSID，即当你第一访问a项目时，它会自动生成一个名为 PHPSESSID 的session_id，并在服务器端创建一个以session_id 命名的文件，然后发送session_id到浏览器的cookie里保存，当下一次访问时，则会携带该 cookie 信息，服务器端拿到session_id，然后再继续会话。这样就会出现会话信息共享的局面，应该怎样独立出两个不同的会话信息呢？

02

PHP会话技术跟踪和记录用户？使用cookie会话你必须掌握

🎬 鸽芷咕：个人主页 🔥 个人专栏:《速学数据结构》《C语言进阶篇》

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭