当然一切讨论都是在非https情况下的，如果是https，很多问题都不是问题了

会员登陆时，我打算参照VBB的方法，即在CLIENT端用JS把md5(md5(password)+salt)计算出来传到服务器进行匹配，每次登陆成功后立即修改salt
这样做的目的是防止发送的密码被监听

关于记住登陆，我还没有好的办法，我不清楚在向服务器传递重要COOKIE（比如session id）的时候有没有被监听的可能
目前有一个想法是用数据库保存SESSION，然后再加一个IP地址的验证，也就是说一个会员用某个IP登陆，只有确认是这个IP才能保持他的登陆状态。 我知道有办法可以伪装IP，IP协议不是很熟悉，想知道通过伪装的IP能进行正常的WEB通信吗？ （这跟通常的NAT不一样，因为NAT应用里，你要在被伪装的IP机器里做相应的转址才行）