- 论坛徽章:
- 0
|
同时在线万人以上,如何采用$_SESSION
原帖由 "Yarco" 发表:
各位说了session和cookie.
我是一直用session的.当然我也没接触过什么大型站点.一直不敢用cookie的原因是:
1.我不知道cookie的保密性如何.(假如你非得自己搞个算法来实现加密解密,这同样不能保证安全,何况加密解密本身就得消耗时间)
2.cookie设置是带时间的.我无法确定我应该设置多少时间最合适.
3.cookie似乎能被禁用掉.假如我不考虑正常用户----假如我试图攻击那个站点,那么我就会使用禁用cookie的方法首先探知那个网站有哪些秘密的东西.
所以想知道各位大哥是如何解决这些问题的?
1. 保密性不仅由cookie决定, 单从cookie讲很容易伪造, 一般程序员也可以有一些简单的方法去进行安全检验, 这个不是问题!
2. cookie的时间的确是个问题, 因为根据客户端时间时间判断, 这个server不可把握, 所以有效的办法是, 要么就直接设置在内存中, 就是浏览器关闭就失效, 要么就设成最大! 永久有效, 你用工具查查msn or sina的cookie的时间期限..........
3. 禁用我觉得不用考虑! 有人禁用么? 介绍给我认识认识! |
|