那种登录方式安全性更高？（php结合http、验证码）

飞龙在天super

现在正在做一个项目(php)，登陆使用验证码图片验证，防止暴力破解。
我看到一些网络服务程序使用php+Apache登录认证,用全局变量$_SERVER['PHP_AUTH_USER']、$_SERVER['PHP_AUTH_PW']存储输入的用户名和密码，感觉可以解决暴力破解访问。我用了用，发现一旦登录成功就不能注销（$_SERVER['PHP_AUTH_USER']、$_SERVER['PHP_AUTH_PW']数据一直保持，不能被重设），只要获取全局变量的值，就可以获得用户名、密码，这样是不是不太安全啊？
大家能不能说一下这两种登录方式那种安全性更好？

[ 本帖最后由 飞龙在天super 于 2006-12-28 11:08 编辑 ]

HonestQiao

这个登陆与注销需要辅助信息来实现的。

例如可以使用一个辅助的session来检查是否处于登陆状态。

飞龙在天super

我用的是session控制登录注销，但注销session后，返回登录页面后，由于上面的全局变量仍然存在，会自动重新以原来的用户名，密码登录。

axgle

原帖由 飞龙在天super 于 2006-12-28 11:52 发表
我用的是session控制登录注销，但注销session后，返回登录页面后，由于上面的全局变量仍然存在，会自动重新以原来的用户名，密码登录。

用and运算判断不就可以了么？
if(全局变量 and session) {success}

飞龙在天super

可首次登录或者注销后，session都为假啊。

HonestQiao

原帖由 飞龙在天super 于 2006-12-28 13:08 发表
可首次登录或者注销后，session都为假啊。

如果session为假，那就是没有登陆的啊。