@zjqzxc 时区无所谓啊，导出的时候自带的，没改，我指的问题是上面的脚本可以查询到用户，
我将 email 绑定为 false ，还是可以查询到。
你的没有问题，请问 PDO 版本是？

@luxin88 我这里没有。

@laoyuan 我刚测试了一下生成环境，也能查询到用户，先去修改下。

大致看了一下更新内容，除开性能，语法上的小调整也不少，特别是关于 array 引用方面。

A love story for the ages unfolds every year on Chilseok, a folk holiday with origins in the Chinese Qixi Festival.

@elvba 这个帖子里讨论的是新手练习写博客系统，所以我在第一次回复中就说了， session 的运行机制要比 cookie 复杂，不建议新手深究。至于 45 分钟，是随口说的，在 PHP 中原生 session 生命周期只有大约 24 分钟，并不是只设置携带 session id 的 cookie 的过期时间可以解决的，在服务器中同样可能被 GC 。所以就避免不了要设置服务器 session 的生命周期，就会牵扯到 php. ini 中 session 相关的设置，比如生命周期，最大生命周期，回收概率计算，保存位置等等。并且这个设置是全局性的，所以会影响到整个博客系统甚至同服务器其他 PHP 程序。当然这些设置可以在 PHP 脚本中设置，但是需要保证每次启用 session 时都必须设置，不然仍然可能被 GC 。当然，有些人会先将楼主设定到 PHP 程序员的水平，认为这些设置都是非常简单的，或者可以放弃原生 session 使用其他储存方式，并且部署 SSL 来保证 session id 不被截取。
反倒是前面回复中提到的每次打开网页都查询数据库和使用 cookie 的方式被人不耻，其实楼主提到的 typecho 就是这么做的， WordPress 中是又怎么做的 ？前面某位，他的作品有几万人玩，我也玩了一年多了，但是也被说成外行，没办法。

@incompatible 你真的会 PHP ？

老生常谈的问题，价格不是只按年份来确定的，五年经验不见得比一年的更好。

你都不说大致内容来源，说不定是一部《葫芦娃》的 hash 值呢，咋破解？

@incompatible 最后回复一次，我给你一个理由，请试想这样一个情形：
楼主写好了自己的博客系统，登录状态保存在 session 里，楼主听着歌儿，打开博客编辑器，愉快的写着文章。
一篇很好的文章花了楼主 45 分钟时间，完成后点击了发布按钮，然后，就没有然后了。
由于楼主写文章过于专注， 45 分钟内没有刷新或者访问自己的博客，等到点击了发布按钮后才发现自己被跳转到了登录界面，由于楼主没有事先保存文章，所以写好的文章就这么丢失了，楼主怒了，我明明登录了，为什么为什么为什么现在又要我登录？

忘记贴一个网址了： https://paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence#title.2
内容包含登录相关所有基本操作，建议一读。

对此帖的回复到此为止。
楼主可以鉴别和选择对自己有用的信息，能解惑最好。

@incompatible 请只用 session 实现「记住我」一个月的功能，并且比用 cookie 更适合新人博客练手。
另外，算法不是你想破解就破解，比如 uid 为 1 的 hash 为 dc0afe3bee4310343511b13f2cd8ac19c8ddfaf9572c13e02c44bddf8722b722 ，算法为 sha256 (uid + salt )，请“破解” uid 为 2 用户的 hash 。

@abcfyk session 保存登录状态，浏览器关闭就没了，每次打开浏览器都重新登录？设置 cookie 的保存时间会比设置 session 的生命周期更难？ 什么都保存在 session 里，只靠 session id 裸奔，真的会比 cookie 安全？

博客系统的登录状态一般来说需要保存特定时间长度，不推荐直接使用 session 来储存，因为你对其运行机制不熟悉，会遇到很多意外情况。
作为练手项目，我们可以直接使用 cookie 来保存登录状态。
比如你可以将用户 id 存入 cookie ，在每次打开页面都检查 $_COOKIE["uid"] 是否设置来判断用户是否登录。
然而只依靠一个 uid 来鉴权是非常危险的事情，因为 cookie 是可以伪造的，所以我们需要在 uid 以外另添加一个 cookie 来杜绝伪造。
这个 cookie 通常是一个 hash 值，比如就将它取名为 AuthCode ，它的值是可以是 hash ("sha256", uid + salt ) 或者其他类似的字符串。
那么在每次打开页面的时候就需要判断两种情况：是否设置了 $_COOKIE["uid"]； hash ("sha256", $_COOKIE["uid"] . "IAmSalt!") 是否和 $_COOKIE["authCode"] 相同；
那么只要 hash 算法或者 salt 不泄漏，就可以杜绝大部分伪造，一下就感觉安全了很多是不是？
当然，这只能应付“最最最”基本的情况，比如我的 cookie 被拦截了，这样的鉴权方式就算改密码都没用，怎么办？
只能靠楼主自己去了解相关的解决方式了。

合同会重签，无限期的应该会有影响吧。

@jhdxr 不好意思，按错回车了。有 cvs 帐号不代表可以审核代码，Reviewer 的权限应该更高一些。
@shiny 是 Reviewer，有权限的。因为我不是文档组成员，回答可能有误。

@jhdxr