以往都是登陆后,在Session放个标志性信息,然后在需要的页面检查(或用过滤器)
刚刚想到用Cookie,但是担心被伪造.请各位高手指点!
------解决方案--------------------
肯定是不能用cookie的,
cookie的数据是放在客户断的\肯定很容易伪造.而且每太电脑都是通用一个cookie,这样不能保证数据的正确性.
而session的数据是放在服务器上的.
------解决方案--------------------
这样不是一样伪造吗?
原先的伪造就是建立在知道用户名密码的情况下的,你现在只不过把密码加密下再验证,一样可以伪造你加密后的密码
而且别人用你的机器也一样可以登陆,cookie永远不会安全的
------解决方案--------------------
COOKIE不安全的
如果我把一个管理员的COOKIE获得了
替换掉我的COOKIE
那么
去那个网站后
我就是管理员了