注册 登录
编程论坛 J2EE论坛

怎么保存登陆信息?

DoubleJ 发布于 2006-10-06 12:21, 2863 次点击
用户登陆后,登陆怎么保存? 
   是保存在哪里? SESSION?COOKIES?还是数据库里?
25 回复
#2
神vLinux飘飘2006-10-06 13:12
Session
#3
Knocker2006-10-06 13:21
如何在客户端取得Session ID?
#4
神vLinux飘飘2006-10-06 14:01
SessionID有两种实现方式,一种是通过COOKIE,另外一种就是HTML
一般来说不会有白痴像楼上的老K一样关闭掉cookie的,所以这个时候session id就可以从cookie中找到
如果很不幸,你是和老K一样BT和白痴的人,那么你可以从HTML代码中找到蛛丝马迹。

session id对于正常用户来说没有什么实际意义,但是一旦落入黑客的手里就不是那么好玩的了,什么cookie欺骗啦都来了。
所以session id还是要小心处理为好呀
#5
Knocker2006-10-06 14:47
COOKIES里没有,不可能有,如果有俺也不用找了

[QUOTE]DvForum
UserID=731&usercookies=1&StatUserID=2207134398&userclass=%B9%F3%B1%F6&username=Knocker&password=ChWJ456fghghrt45067&userhidden=2
bbs.bc-cn.net/
0
2047229952
29813088
3265779040
29813010
*
AJSTAT_ok_pages
12
bbs.bc-cn.net/
0
639973376
29813019
3298779040
29813010
*
AJSTAT_ok_times
1
bbs.bc-cn.net/
0
2666264576
29886444
3305879040
29813010
*[/QUOTE]

你帮帮找找在什么地方

[此贴子已经被作者于2006-10-6 15:17:54编辑过]
#6
神vLinux飘飘2006-10-06 15:02
IE我正在找firefox的倒是找到了
只有本站会员才能查看附件,请 登录
#7
神之飘飘2006-10-06 15:12
顺便说一下哈,老K啊,你这样把密码暴露出来好么,虽然是经过MD5运算的,可是这样就等于给人家一个暴力破解的机会啊
#8
Knocker2006-10-06 15:14
1, 用一号马甲上线并保存所有COOKIES
2, 换二号马甲上线也保存所有COOKIES
3, 交替轮着用上面保存下来的一号,二号的COOKIES去替换COOKIES目录里的COOKIES,并刷新firefox,看看是否有效

IE中无效,可能是俺没找到session id原因
#9
Knocker2006-10-06 15:16
以下是引用神之飘飘在2006-10-6 15:12:19的发言:
顺便说一下哈,老K啊,你这样把密码暴露出来好么,虽然是经过MD5运算的,可是这样就等于给人家一个暴力破解的机会啊

假如俺的想法成立,完全不用爆破就可以利用上述信息登陆
#10
神之飘飘2006-10-06 15:22
我正在尝试,用你的cookie信息修改了我的cookie,不过好象不行,不知道那里出了问题
cookie欺骗嘛
#11
神之飘飘2006-10-06 15:24
其实我们没有必要用这个这么复杂的商业化论坛来做这个实验,我们可以先从一个简单的,涉及到session会话的web程序入手
#12
神vLinux飘飘2006-10-06 15:33
竟然成功了....session id 不能随便给人阿
#13
baidu2006-10-06 15:34
IE下????
#14
DoubleJ2006-10-06 15:35
各位老大.
我是一个初学者.
我想, 如果把登陆信息放在SESSION里面, 我不管他安全不安全,但是, 我如果按SHIFT键打开一个新的窗口.那么就会产生一个新的SESSION.
不用又要重新登陆哦.
而且,我觉得SESSION里面只是放的是一个标记,又不是放用户名和密码.只是通过这个标记判断用户是否成功登陆!
#15
DoubleJ2006-10-06 15:35
各位老大.
我是一个初学者.
我想, 如果把登陆信息放在SESSION里面, 我不管他安全不安全,但是, 我如果按SHIFT键打开一个新的窗口.那么就会产生一个新的SESSION.
不用又要重新登陆哦.
而且,我觉得SESSION里面只是放的是一个标记,又不是放用户名和密码.只是通过这个标记判断用户是否成功登陆!
#16
神vLinux飘飘2006-10-06 18:03
你错了,session id 不是用来判断是否成功登录的关键,判断的关键是在于服务器端会把你还有其他人的会话全部维护在一个列表里面,那么服务器是怎么知道你是那一个session呢?这个时候session id 的作用就上来了。

服务器通过id找到你的session,然后判断session里面是否包含有某些关键信息,这些信息才是服务器判断你是否合法登录的关键。
如果你伪造一个session id提供给服务器,服务器则会认为你才是这个session id的主人,然后会把上面的信息全部映射给你。
#17
Knocker2006-10-06 19:14
我靠,你说了一大堆的费话,倒是找到session id没有?
#18
神vLinux飘飘2006-10-06 21:23

ie的偶还是找不到呀~555
#19
live412006-10-06 21:43
老k叫我来,我不懂,也没兴趣,我已经改行了,转回C#工作了~~~
#20
Knocker2006-10-07 11:14
到底是真是假?
#21
千里冰封2006-10-07 13:07
一个session也搞这么久?
#22
pchelp20082006-10-08 08:16
MD5是不可逆的
#23
Knocker2006-10-08 10:33
以下是引用千里冰封在2006-10-7 13:07:33的发言:
一个session也搞这么久?

那你说说
#24
神vLinux飘飘2006-10-08 12:47
以下是引用pchelp2008在2006-10-8 8:16:17的发言:
MD5是不可逆的

MD5是不可逆的是没有错误--至少在今天的数学水平来说的确不可以

但是我们可以尝试暴力破解,只要你控制了足够的多肉机,那么破解一个MD5加密的密码也不过就几个月左右的事情
#25
islet2006-10-09 16:30
最苯的方法破解MD5就是 把所有可能的组合全部列出来分别MD5加密 再查找与之相匹配的结果 就破解出来了
#26
islet2006-10-09 16:43
你要是能把SESSION信息写进去 并把数据库的相应用的那条信息的相应字段也写进你要的内容 那就能把这个服务器黑掉了
1
©2025, BC-CN.NET
电脑版