2011-03-28 107 views

回答

2

完全取決於ID的用途。

如果是認證,這是一個壞主意。我可以改變它到任何東西。

你最好存儲一個隨時更新的隨機數(每個頁面如果不會毀掉你的服務器)。然後在你的數據庫中將這個匹配到經過驗證的用戶。

1

沒關係,只要確保您對該cookie執行驗證即可。

-1

可以這樣做。但在提交任何重要內容之前,請詢問該用戶的密碼以進行驗證。

1

如果它是用於任何類型的會話管理,或被用作獲取敏感信息(密碼,財務,醫療等)訪問權的密鑰,那麼你不想將它存儲在cookie中 - 當然不是無論如何。

好的做法是使用加密的會話cookie,以便難以猜測,針對內部服務器引用進行驗證,經常更新(對安全狀態進行任何更改 - 例如從http到https頁面)並撤銷離開或註銷以防止重複使用。