Yii2 自带的 yii\web\user 的登录太危险了，求指教 - 话题 - Yii Framework 中文网

ayue728 2018-10-17 11:10:27 3275次浏览 4条回复 0 0 0

Yii2自带的 yii\web\user 的登录后，只会生成一个 PHPSESSID 用于验证登录的状态如果这个 PHPSESSID 被复制了，粘贴到任何一个其他的电脑上，都会自动登录，也太危险了吧!

郝立国回复于 2018-10-17 14:05 举报

你发现了新大陆，请把实验过程以及结果贴出来大家围观一下

回复 0 0
ayue728 回复于 2018-10-17 14:18 举报

你好，你自己就可以尝试啊，随便登录一个yii2，然后查看cookie复制PHPSESSID的值

然后用其他的电脑打开yii2，是非认证状态，把刚才复制的PHPSESSID的值粘贴上，就认证通过了，就登录了

回复 0 0
wsd15321 回复于 2018-10-17 14:49 举报

你用其他电脑能直接拿到PHPSESSID吗，这和你自己复制帐号密码登录有什么区别

共 1 条回复

abei1982 回复于 2018-10-22 09:38 回复

同意这个。

AC 觉得很赞

回复 1 0
liuxingke 回复于 2018-11-02 23:00 举报

好好了解一下session的原理吧

回复 0 0

您需要登录后才可以回复。登录 | 立即注册

实习生

ayue728

注册时间：2018-10-17
最后登录：2018-10-17
在线时长：0小时35分

粉丝0
金钱15
威望0
积分15

热门话题