[讨论]关于Session的安全性！ - 编程论坛

#2

windstores2007-03-29 00:50

session 是存放在服务器端的很安全的啊。。。。放心

#3

pacocai2007-03-29 01:05

以前在ASP下的时候有不少漏洞，所以现在有点怕怕。

#4

紫轩听雨2007-03-29 08:54

不太好，但是还算是安全．但是只要是服务器很忙的时候．session就会丢值了！！！！

#5

skyland842007-03-29 09:10

还行来着～！
只要你不把COOKIE 关掉就行！

要是把COOKIE 关掉的话那你的 SESSION 就不安全咯～！

他会把你的会话ID 显示在浏览器的地址栏里头！

希望你用的时候别禁用你的 COOKIE

#6

冰镇柠檬汁儿2007-03-29 10:29

别用Session保存密码，一般的，如果登录成功，保存上用户名就可以了，在判断的时候，如果能取到这个用户名的Session就可以进入页面。

#7

pacocai2007-03-30 05:10

恩，刚刚改掉了，现在就是在登录面完成以后转入密码验证页面用Session传送一次密码，验证完成以后马上就关掉。然后只用Session保存用户名和权限。不过我老感觉用来存权限好像………………安全性也不怎样，我现在已经设置为关掉Cookie了，直接就是在服务器进程记录Session正在想别的方法，各位帮忙想想。我有个想法，能不能把所有的值存到xml里，然后再读出来…………不过这样相对效率会很差…………

#8

冰镇柠檬汁儿2007-03-30 08:54

To：pacocal
我想问你一句：“知道什么是杞人忧天吗？”
再有，你用的是.NET，可以在输入密码的页面处理啊，为什么要传送一次啊

#9

卡洛2007-03-30 10:44

是啊。你登陆验证成功以后。传个ID和权限编号就可以了。干吗还要传密码？

#10

xbdeig2007-03-30 11:21

杞人忧天

#11

球球2007-03-30 11:48

身份验证里有个角色验证,不知道能不能解决用户管理这方面的.

#12

pacocai2007-03-30 15:18

没办法，一定要传送，因为有好几个模块，这里只是其中的一个模块，负责总模块的家伙要求所有的权限和密码都在那里处理

，我苦啊，偶是敢努而不敢言，他是偶的直接上级

。…………今天上午又改代码，差点没弄死我。权限的回传这个比较好解决，现在就是密码一定要在总的模块里验证这个让我很头痛。如果效率高一些的话我想可能用存储过程会好些，这样我想应该相对安全性会比直接用Session要安全和可靠，现在还在考虑这个方案的可行性，各位给点意见，谢了！

#13

bygg2007-03-30 18:31

影响速度..

#14

pacocai2007-03-31 04:46

那我没办法了。看样子只能用Session了，我实在想不出什么好的办法了。

#15

makewelldone2007-03-31 16:32

我也有相同的问题，有用户登陆之后，保存用户的信息：
page.Session["UserName"] = username.toString();
page.Session["Userpws"] = userpws.toString();

在取出Session ｚ中值时出错了，
string name = page.Session["UserName"].toString();
string password = page.Session["Userpws"].toString();
系统提示错误，没有将对象的初始到对象的实例

#16

zhzh2007-03-31 16:48

感觉Session还不错，没有asp时那么多的缺点了！

#17

pacocai2007-04-02 01:12

我看了微软件的官方介绍，具体的就不知道了。呵呵！不好意思，这两天和朋友自驾游去了。