28,390
社区成员
发帖
与我相关
我的任务
分享关于不用SESSION,要控制用户登陆的问题!
如果只是简单的验证一下用户名和密码,那么可以在IE的地址栏键入登陆后的页面,不就也可以吗!如何控制这种非法登陆呢!以前用SESSION成功过,但是现在我做个小程序,我不想用SESSION!谢谢!
...全文
请发表友善的回复…
发表回复
i三千 2003-09-11
- 打赏
- 举报
不用session和cookie很难做啊,做了也不安全的~
IamScout 2003-09-11
- 打赏
- 举报
推荐你一种方法:使用servervariables集合
<%
from=request.servervariables("http_referer")
if from="http://[登陆页面]login.asp" then
response.write ("Welcome!")
else
response.write ("You must login first!")
end if
%>
使用服务器变量HTTP_FEFERER来检查用户连接来源,只有从登陆页面连接过来的才被允许访问。不过假如你根据用户权限不同要不同操作还是用session方便一些。
<%
from=request.servervariables("http_referer")
if from="http://[登陆页面]login.asp" then
response.write ("Welcome!")
else
response.write ("You must login first!")
end if
%>
使用服务器变量HTTP_FEFERER来检查用户连接来源,只有从登陆页面连接过来的才被允许访问。不过假如你根据用户权限不同要不同操作还是用session方便一些。
hubert1214 2003-09-11
- 打赏
- 举报
celerylhl(芹菜) 的方法值得考虑!谢谢!
falcon36017 2003-09-11
- 打赏
- 举报
celerylhl(芹菜) 你的隐藏域还得改一下
要不我在访问你的页面时候 ?logsucceed=1 照样可以访问你的东西
如果改成
<input type=hidden name=logsucceed value=1> 用隐藏域来传递。
if request.form("logsucceed")<>1 then response.redirect("login.asp")
这样要严谨一点 但是也是可以被非法进入的
要不我在访问你的页面时候 ?logsucceed=1 照样可以访问你的东西
如果改成
<input type=hidden name=logsucceed value=1> 用隐藏域来传递。
if request.form("logsucceed")<>1 then response.redirect("login.asp")
这样要严谨一点 但是也是可以被非法进入的
hubert1214 2003-09-11
- 打赏
- 举报
对,在登陆后的每个页面都调用数据库来验证!用户名和密码就用HIDDEN来传递,用POST来传!这样也可以达到目的哦!(不过这也很麻烦!:()
falcon36017 2003-09-11
- 打赏
- 举报
你在连接数据库的那个include 的文件里加入这个session的判断我觉得是比较好的
用户再怎么非法进入你的系统 一涉及数据库中的内容就自己给弹出去
用户再怎么非法进入你的系统 一涉及数据库中的内容就自己给弹出去
celerylhl 2003-09-11
- 打赏
- 举报
<input type=hidden name=logsucceed value=1> 用隐藏域来传递。
if request("logsucceed")<>1 then response.redirect("login.asp")
if request("logsucceed")<>1 then response.redirect("login.asp")
bubuy 2003-09-11
- 打赏
- 举报
每页都把他的用户名和密码记录下来。
然后传到另一页验证。
不过用cookies也很好
然后传到另一页验证。
不过用cookies也很好
bubuy 2003-09-11
- 打赏
- 举报
你要限制他啊,在登陆后的页面用数据库查询
验证。
验证。
hubert1214 2003-09-11
- 打赏
- 举报
我知道怎么用APPLICATION和SESSION来控制,因为现在做的东西很小,我不想搞得很复杂!真得没办法吗?
61 2003-09-11
- 打赏
- 举报
用cookies
hubert1214 2003-09-11
- 打赏
- 举报
也就是说,不用SESSION就不能完成控制非法登陆的问题!
难道没有办法了吗?
难道没有办法了吗?
xieyj 2003-09-11
- 打赏
- 举报
只能用 Session 或 Application 用来传递变量。或在 global.asa 里面定义一个全局变量。
xieyj 2003-09-11
- 打赏
- 举报
只能用 Session 或 Application 用来传递变量。或在 global.asa 里面定义一个全局变量。
falcon36017 2003-09-11
- 打赏
- 举报
汗
验证正确用户名和密码后给用户一个SESSION
这个SESSION实际上就是给用户身份啊
其他页面每个页面都要做这个SESSION判定啊 看用户是否通过其他方式没获得SESSION就来访问这些页面
验证正确用户名和密码后给用户一个SESSION
这个SESSION实际上就是给用户身份啊
其他页面每个页面都要做这个SESSION判定啊 看用户是否通过其他方式没获得SESSION就来访问这些页面
