[安全 cookie session]大家将对用户的信任放在哪? Session还是Cookie?

alinker

大家将对用户的信任放在哪? Session还是Cookie?
看见一些例程都是通过setcookie函数来储存用户密码的,用了secure参数...安全吗?

你是怎么处理的?


SetCookie(string name, string value, int expire, string path, string domain, int secure);

[ 本帖最后由 alinker 于 2006-6-23 14:11 编辑 ]

HonestQiao

保存用户名即可，如果需要，还可以作一个密耻

alinker

原帖由 HonestQiao 于 2006-6-23 14:02 发表
保存用户名即可，如果需要，还可以作一个密耻

总感觉放在客户端不安全呀,要是密码不够复杂和足够长,md5后也一样可能用md5字典里找出明文.
...
经验不足...请多指教!

scriptkidz

cookies可以欺骗的~

z33

永远不要相信用户

枫影

如果保存一个用户名，那么如何得知此用户就是应该登陆的用户呢？依据是？
另外他没有输入密码的过程，如何对应数据库内的md5密码？

HonestQiao

你可以自己设计一个加密解密规则，不泄漏就可以了。

最简单的，把ASCII码取出来即可。

至于密码是否怕md5，那你md5两次如何。

alinker

我也不太相信cookie能安全到哪...当然也可像小Q说的,编好算法,md5后再md5,不行再sha一遍......但一旦客户不允许cookie,就玩不转了~

但session就安全了吗???

diogin

原帖由 alinker 于 2006-6-23 22:41 发表
我也不太相信cookie能安全到哪...当然也可像小Q说的,编好算法,md5后再md5,不行再sha一遍......但一旦客户不允许cookie,就玩不转了~

但session就安全了吗???

session也不安全，url方式的session就不说了
cookie方式的session还不是基于cookie？
所以要想安全，加密才是要考虑的手段。
试试SSL吧

zhanglp888

我是放在cookie里，自己做一个加密的方法！
比如，把id，乘以23，然后在这个数的头一位前再加一个10000~99999的随机数！

反正看不懂，但是自己看的明白