首先，你遇到的核心问题是客户端可以随意修改Cookie内容，只存用户名完全不可靠。下面是具体的安全改进方案，以及对哈希密码存储风险的解答：

一、必须添加的安全机制：使用签名验证Cookie内容 #

你需要给Cookie里的用户名加上一个服务器端生成的签名，这个签名基于只有你服务器知道的密钥生成。这样任何人篡改用户名后，签名就会失效，服务器能立刻识别出来。

具体实现步骤： #

1. 登录成功时设置Cookie：

   • 先生成一个过期时间戳（比如当前时间+15天）：$expiry = time() + 15 * 24 * 3600;
   • 准备一个只有服务器知道的密钥（存在配置文件里，绝对不能泄露）：$secret_key = 'your_very_long_and_random_secret_key_here';
   • 用HMAC算法生成签名（比普通哈希更安全，因为结合了密钥）：

     $signature = hash_hmac('sha256', $username . $expiry, $secret_key);
     

   • 设置三个Cookie字段，同时加上关键安全属性：

     // Secure=true：仅HTTPS连接发送Cookie；HttpOnly=true：禁止JS读取Cookie，抵御XSS
     setcookie('username', $username, $expiry, '/', 'yourdomain.com', true, true);
     setcookie('signature', $signature, $expiry, '/', 'yourdomain.com', true, true);
     setcookie('expiry', $expiry, $expiry, '/', 'yourdomain.com', true, true);
     

   还可以加上SameSite=Strict属性，进一步防范CSRF攻击。

2. 用户返回时验证Cookie：

   • 先检查三个Cookie是否都存在：

     if (!isset($_COOKIE['username']) || !isset($_COOKIE['signature']) || !isset($_COOKIE['expiry'])) {
         // Cookie缺失，引导用户登录
         header('Location: /login');
         exit;
     }
     

   • 检查Cookie是否过期：

     if (time() > $_COOKIE['expiry']) {
         // 清除过期Cookie并引导登录
         setcookie('username', '', time() - 3600, '/', 'yourdomain.com', true, true);
         setcookie('signature', '', time() - 3600, '/', 'yourdomain.com', true, true);
         setcookie('expiry', '', time() - 3600, '/', 'yourdomain.com', true, true);
         header('Location: /login');
         exit;
     }
     

   • 重新计算签名并验证（必须用hash_equals()防止时序攻击）：

     $secret_key = 'your_very_long_and_random_secret_key_here';
     $calculated_signature = hash_hmac('sha256', $_COOKIE['username'] . $_COOKIE['expiry'], $secret_key);
     if (!hash_equals($calculated_signature, $_COOKIE['signature'])) {
         // 签名不匹配，说明Cookie被篡改，拒绝访问
         header('HTTP/1.1 403 Forbidden');
         exit;
     }
     

   • 最后验证用户名是否在数据库中有效：

     // 用预处理语句防止SQL注入
     $stmt = $pdo->prepare("SELECT id FROM users WHERE username = ?");
     $stmt->execute([$_COOKIE['username']]);
     if (!$stmt->rowCount()) {
         // 用户名无效，清除Cookie并引导登录
         // ... 清除Cookie代码 ...
         header('Location: /login');
         exit;
     }
     

二、关于哈希密码存储的风险 #

你之前移除哈希密码是完全正确的，因为把哈希密码存在Cookie里确实有严重风险：

• 哈希可被破解：即使是加盐的哈希，攻击者拿到后可以用彩虹表、暴力破解等方式尝试还原原密码。如果用了MD5、SHA1这类弱算法，破解速度会非常快。
• 会话劫持风险：就算攻击者破解不了原密码，只要拿到这个哈希Cookie，就能直接冒充用户登录，不需要知道原密码。
• Cookie泄露风险：Cookie可能通过XSS攻击、未加密的网络传输（无HTTPS）、用户设备被盗等方式泄露，一旦泄露，哈希密码就落入攻击者手中。

所以绝对不要把任何和密码相关的内容（包括哈希）存在Cookie里。

三、额外的安全建议 #

• 优先使用服务器端会话：PHP自带的session_start()机制更安全，会话数据存在服务器端，客户端只存一个随机的会话ID，无法篡改会话内容。如果可以的话，建议改用这种方式，比自己实现Cookie签名更省心。
• 定期更换密钥：如果密钥不小心泄露，要立刻更换，否则攻击者可以伪造签名。
• 不要存储敏感信息：除了用户名和签名，不要在Cookie里存储任何敏感数据（比如用户ID、邮箱），如果必须存，也要把这些内容加入签名计算。

内容的提问来源于stack exchange，提问作者Just Another Coder