28,391
社区成员
发帖
与我相关
我的任务
分享能不能伪造cookie?
因为用Session来保存登陆状态老是出现时间不准的情况,所以我使用cookie来保存登录状态,登陆成功以后把userid保存到cookie里面,后台验证的时候判断cookie("userID")是否为空。但是这样会不会带来一个问题,就是黑客伪造一个UserID的cookie,这样就能绕过验证逻辑,直接进入后台管理了。如果这样不安全应该怎么做?
...全文
请发表友善的回复…
发表回复
hookee 2014-02-28
- 打赏
- 举报
cookie 加密就行了。
scscms太阳光 2014-02-28
- 打赏
- 举报
没错cookie是可伪造的。
cookie("userID"):里面的内容应该多信息合在一直然后md5加密才行。每次刷新都拿去数据库里核对。
比如:cookie("userID")="12_A???A" 表示用户ID=12 用户名+注册日期的MD5加密=A???A
每次刷新都去数据库里取出用户ID=12的用户名+注册日期用MD5加密,如果等于A???A就通过,否则就是伪造cookie.
Go 旅城通票 2014-02-27
- 打赏
- 举报
你要是用cookie就没办法了,cookie可以伪造的
安全性提供下就是生成个GUID保存的到cookie中,服务器硬盘上同时也生成一个文件名为GUID的文件存储用户id,不过要读写硬盘,速度没session快了。。~
黑客要猜测GUID就让他猜了。
