+设为首页 +添加到收藏夹
偶最近在找有关新闻系统的用户验证的相关程序,偶发现一个现象,有些是才用了cookies,有些是用了session,还有一些是用了验证号码,大致是这三中,好象还有用数据库临时生成一堆数据的,偶比较偏向session,但是偶希望新闻程序的安全性有一个较为完善的解决方案,所以,偶在这里希望大家就自己写的新闻程序的后台用户验证谈一下,让偶和各位初学者有个了解。也欢迎有相关资料的朋友提供一下资料。谢谢。
个人意见:用cookies 好一些~~~
我自己的站点是用的session,但是我建议不要用她,因为我觉得她不是很稳定,虽然她不会让人进入不能进的页面,但是她的失效时间我感觉是不可预期性的!
是的,默认是20min,也可以自己set,但是我感觉还是不稳定!
建议使用session时间设置的长点就可以了,你可以设置为2小时
cookie安全性不高
用session因为session稍安全一点而且方便也没必要设置session时间过长因为如果长时间没有操作的话自动关闭返而倒好。
有建议使用cookie如果是内网一人一机制的话建议使用cookie这样方便!
所以我建议不要用session
以前发现了一个很奇怪的现象:
我同时设置了session("username")="文字"
session("id")="数字"
但是我发现后者的有效时间较前者短!即使set了timeout也不行!
很奇怪,不是吗?
用cookie吧!
综合各种信息
建立个人信息库与之对应
用application保持权限稳定,跟客户机无关
用session其实也很稳定,要看客户端的ie设置和版本而定
我做用户管理的时候采用了seession来统计在线用户数,当kill掉ie时,seesion不会立即死掉,当自己试验的时候,比如说就一个用户反复登录的话,在线用户数会越来越多,而不是1。
我个人愚见认为,
可以用用cookie,
cookie,----也不能一概而论的说安全,或不安全
要看程序员对敏感信息的处理的手法,
从实际应用出发吧,
如查服务器跟不上要求用太多的SESSION会很吃紧
愚见愚见愚见愚见愚见愚见
session很安全 可以放心使用 并可以满足您的要求
但是 安全也是有级别 应用级别?系统级别?
MARK~
Session 也是通过 Cookie 来实现的
-----------------------------------------------------------------------------
关于 SessionID 和 Cookies
用户第一次请求特定应用程序内的 .asp 文件时,ASP 将生成一个“SessionID”。这是通过复杂算法产生的数值,SessionID 唯一标识每个用户的会话。新会话开始时,服务器将 Session ID 作为 cookie 存储到用户 Web 浏览器中。
SessionID cookie 类似于小橱柜钥匙,当用户在会话期间与应用程序交互时,ASP 可以将用户信息储存到服务器上的“小橱柜”内。用户 SessionID cookie同意以小橱柜钥匙允许访问小橱柜内容的方式访问该。ASP 每次收到网页请求时,都检查 HTTP 请求头文件内的 SessionID cookie。
将 SessionID cookie 存储到用户浏览器后,即使用户请求其他 .asp 文件或请求在其他应用程序中运行的 .asp 文件,ASP 也会重复使用同一 cookie 来跟踪会话。同样,如果用户主动放弃会话或放任会话超时,然后继续请求其他 .asp 文件,ASP 仍旧使用同一 cookie 开始新会话。用户收到新 SessionID cookie 的唯一机会就是,服务器管理员重新启动服务器从而清除存储在内存中的 SessionID 设置,或者用户重新启动 Web 浏览器。
通过重复使用 SessionID cookie,ASP 将发送到浏览器的 cookie 数量减到最少。另外,如果确定 ASP 应用程序不需要会话管理,则可以禁止 ASP 跟踪会话和向用户发送 SessionID cookie。
