我正在使用 PHP为Web应用程序创建登录系统.我的问题是,仅在当前会话中存储用户登录信息是否安全？例如,如果名为John的用户成功登录到我的站点,我可以只存储$_SESSION [‘Username’] =’John’和$_SESSION [‘LoggedIn’] = 1然后检查$_SESSION [‘LoggedIn’]在每页上等于1以验证用户是否实际登录？或者有更好的方法吗？我不知道这可能导致我的头脑中出现任何问题,但我想确保我不会在我的网站上留下一个可能导致问题的大洞.

另外,我在数据库中存储用户密码salt的md5哈希值,而不是它们的实际字符串密码,这样就不用担心了.

如果您需要更多信息或者不清楚,请与我们联系.谢谢！