不要使用session记录用户尝试登录次数
2016-03-09 00:00
627 查看
摘要: 开发Web项目时,不要将用户尝试登录次数记录在session中,cookie中更不可以。
在开发Web项目是可能出现如某一用户多次输入用户名密码错误,则要求用户的输入验证码。此举一般用户防止自动程序穷举用户名密码进行攻击。此时需要记录同一用户名或IP尝试登陆次数,将此信息存在cookie中是最简单的,但由于cookie可能被篡改,这种方式十分不安全。
另外可以将信息存放在session中,但是由于session使用客户端存储的sessionid进行用户识别,用户可以将sessionid删除,此时服务器只能认为这是一次全新的请求则不会出现输入验证码的要求。
综上,在存储某一用户或PC尝试登陆次数时,不能使用cookie或session,而应该存在服务器的某一全局变量或数据库等地。
在开发Web项目是可能出现如某一用户多次输入用户名密码错误,则要求用户的输入验证码。此举一般用户防止自动程序穷举用户名密码进行攻击。此时需要记录同一用户名或IP尝试登陆次数,将此信息存在cookie中是最简单的,但由于cookie可能被篡改,这种方式十分不安全。
另外可以将信息存放在session中,但是由于session使用客户端存储的sessionid进行用户识别,用户可以将sessionid删除,此时服务器只能认为这是一次全新的请求则不会出现输入验证码的要求。
综上,在存储某一用户或PC尝试登陆次数时,不能使用cookie或session,而应该存在服务器的某一全局变量或数据库等地。
相关文章推荐
- java-WEB中的监听器Lisener
- GUI - Web前端开发框架
- Extjs4.0 最新最全视频教程
- java自动生成验证码插件-kaptcha
- MyEclipse Web Project转Eclipse Dynamic Web Project
- axis备忘
- kindeditor 批量上传 上传失败 thinkphp swfupload session
- 杰奇登录后的东西都是在session里面的
- Erlang实现的一个Web服务器代码实例
- 防止网页脚本病毒执行的方法-from web
- 自学成才的秘密:115个 web Develop 资源
- 使用批处理修改web打印设置笔记 适用于IE
- ASP中SESSION无法保存问题的解决办法
- Apache Web让JSP“动”起来
- web下载的ActiveX控件自动更新
- 推荐六款WEB上传组件性能测试与比较第1/10页
- 如何识别高级的验证码的技术总结第1/4页
- 关于三种主流WEB架构的思考
- 使用 Iisext.vbs 列出 Web 服务扩展文件的方法