我正在尝试创建一个Wordpress插件,该插件基于自定义用户名/密码数据库限制对内容的访问。
对于身份验证,我在用户登录后创建了两个cookie——一个使用用户名,另一个使用username+'secret'的哈希(使用WP的PasswordHash库创建)。
对于"秘密",我计划使用wp-config.php中的一个常量,例如"LOGGED_IN_SALT"。
我的问题是:使用LOGGED_IN_SALT是否存在安全风险?如果我这样做,我会危及Wordpress安装的安全性吗?其他常数中的一个会是更好的选择吗?我应该避免使用这些常量中的任何一个吗?
欢迎发表任何意见!
感谢
不要使用cookie,而是使用会话。如果你使用cookie,它可以被客户端更改,也可以通过xss漏洞被窃取。您可以从会话中获取用户数据,并使用从会话中提取的用户数据验证受限访问。
当你进入受限内容时,从会话中获取用户数据;
<?php
$user_ID = get_current_user_id();
// Validate content here
?>