用cookie保存登录的用户名和密码,当用户访问网站的时候,获取cookie的用户名和密码,通过用
用cookie保存登录的用户名和密码,当用户访问网站的时候,获取cookie的用户名和密码,通过用户名查找数据库里对应的密码,然后与cookie里的密码匹配,如果匹配成功则验证通过,如果匹配失败则验证失败清除cookie,请问这种验证方式是否危险?
发布于2015-01-19 18:39
最佳答案
当然。cookie是你的浏览器等访问网页是存在在你的本地硬盘的数据,这样你下次访问时候就很快,减少用户查询和页面下载次数。如果你的电脑中木马了,他通过本地cookie获取到你的比如网银登录帐号密码,你说会怎么样?
追问
你这是站在用户的角度讲的。。。我说的是服务器那边有没有可能被攻击或者被用户恶意欺骗,用户这边的资料都要加密的好吧
追答
。。。服务器叫session,不懂不要乱说哈。
给你参考下:
cookie 和session 的区别:
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
考虑到减轻服务器性能方面,应当使用COOKIE。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
5、所以个人建议:
将登陆信息等重要信息存放为SESSION
所以说session比较安全,如果一个服务器不能做到相对的安全,那它还怎么能提供安全可靠的服务?
追问
我只是保存登录的用户名和密码判断登录状态而已,就像你说的session对服务器有一定的压力,而cookie你对保存的信息加密以后就不怕信息泄露了。我想问的是,我那种验证方式用户有没有可能伪造cookie登录其他账户或者进行注入攻击之类的
追答
可以的,这个就需要他们服务器一方有注入漏洞或者存在cookie欺骗的漏洞。
像以前的动网论坛,就有这个
追问
我那种验证方式可以欺骗么?
追答
肯定啊。你本地的cookie其实就是服务器缓存到你的电脑上的。既然服务器都能沦陷,你的本地的也木有用了。