我使用的會話cookie(而不是永久性)保存用戶ID知道,如果用戶登錄。是否有足夠的會話cookie來存儲用戶ID?
基本上,用戶登錄時,我們檢查的憑據,然後設置一個會話cookie的用戶ID = 37(這個特定的用戶,其他用戶將有73或69等)
Session.Add("UserID", 37);
我的問題是,是否有可能登錄的用戶到該會話cookie以某種方式改變從37到73並因此欺騙服務器認爲他實際上是用戶73? 如果是,那麼我在做什麼錯,如何處理這種情況?它似乎瘋了放在會話用戶名和密碼哈希,並檢查他們每次?
我們也是後來使用的查詢,這個用戶ID值來限制他們。
我很抱歉,如果這不是一個確切的代碼的問題,但它是非常相關的我的代碼。
哦。我懂了。你是如此的正確。我完全忘記了這一點。對於快速的答案thnx很多。我必須等12分鐘才能接受,但我會。 – b0x0rz 2012-04-25 14:12:20
如果該值存儲在服務器上,則當客戶端關閉瀏覽器時會話實際上被刪除,還是僅僅是密鑰? (不知道我是否使用了正確的名字) – BjarkeCK 2012-12-01 15:10:31
@BjarkeCK,關鍵在客戶端。在一個cookie中。會話cookie不是持久的,所以當用戶關閉瀏覽器時,cookie將會丟失。另一方面,該值將繼續存在於服務器上,直到它被垃圾收集爲止。 – 2012-12-01 17:11:55