密码是判断权限和登陆是否成功的，不是让你放在session中的，一般密码都会加密放到数据库，所以即使你讲对象放入session中也不会造成泄密，session中保留的用户信息不会很多，主要看你网站会经常用到哪些用户信息，然后在相应的放入

引用 楼主 xiongheqiang 的回复:

用户密码输入后是保存在session中吗?这样安全吗？请详细说说，一般系统中session中保留的用户信息。谢谢！！！

session里一般会缓存一些多个页面间跳转时，需要共享的数据。LZ说的有点像Cookie的使用，比如我们用火狐登录CSDN，选择保存账号，然后你把页面关了，再次打开火狐，来到CSDN，会显示还是登录状态的。

安全什么的，要安全就不方便，这要权衡了，看看这个系统对安全性要求是否很高。

用户密码是放在数据库里面的，登录的时候验证一下，密码不放在session里面

session里面主要放一些用户名、ID啊，角色啊什么的这些东西，因为你其他页面都会用到这些东西，比较常用的东西都可以放在里面，取得时候方便

嗯  谢谢你们的回复，但密码不放在session中如何限制权限呢？比如：如果用户没有通过登录界面而进入内部，这时候该怎么判断呢？

引用 5 楼 xiongheqiang 的回复:

嗯  谢谢你们的回复，但密码不放在session中如何限制权限呢？比如：如果用户没有通过登录界面而进入内部，这时候该怎么判断呢？

判断session中是否存在此用户名，若存在，则已经登陆过了。session是存放在服务器端的。