پاسخ : ذخیره نام کاربری و رمز عبور در سایت
كلا استفاده از كوكي براي شناسايي يوزر ميتونه يك ريسك امنيتي به حساب بياد و در مورد سيستم هاي حساس معمولا توصيه نميشه
اما براي سايت هاي عادي با توجه به كاربر پسند بودن اين نوع شناسايي به طور وسيعي استفاده ميشه
هيچ وقت پسورد كاربر رو در كوكي حتي به شكل encrypt شده نذاريد.
به جاي اينكار بعد از لوگين كاربر يك رشته اختصاصي مثلا شامل تاريخ عضويت + مشخصات مرورگر + يوزر نيم رو ادغام و بعد به شكلي غير قابل بازگشت مثلا با md5 يا sha1 يا تركيب هر دو ( + تركيب هر دو مناسب تر هست) كد كنيد و اين كد رو هم در ديتابيس و هم در كوكي بريزيد.
در مراجعات بعدي اگر سشن لوگين وجود نداشت ميتونيد كوكي رو چك كنيد كه اگر رشته اختصاصي ارسال شده برابر رشته ضبط شده براي يوزر بود سشن لاگين ايجاد بشه. البته بد نيست كه نام كاربري هم نگه داشته بشه (به صورت كد شده با الگوي )
و موقع logout حتما رشته اختصاصي رو از ديتابيس حذف كنيد و كوكي رو هم منقضي كنيد.
در مورد رشته اي كه گفتم :
تاريخ اختصاصي + يوزرنيم : كاملا اختصاصي هستند پس رشته توليد شده هيچ دو يوزري يكسان نخواهد بود
مشخصات مرورگر : در صورت ***يده شدن كوكي از مرورگر كاربر ، كوكي ديگه موثر نيست
نگه داري يوزر نيم هم در كوكي به صورت جدا باعث ميشه درصد خطا در تكرار رشته اختصاصي تقريبا به صفر برسد.
ولي نگه داري خام يوزر و پسورد چه در سشن و چه در كوكي به هيچ وجه توصيه نميشود.
موفق باشيد
پاسخ با نقل قول