不要使用session记录用户尝试登录次数

摘要: 开发Web项目时，不要将用户尝试登录次数记录在session中，cookie中更不可以。

在开发Web项目是可能出现如某一用户多次输入用户名密码错误，则要求用户的输入验证码。此举一般用户防止自动程序穷举用户名密码进行攻击。此时需要记录同一用户名或IP尝试登陆次数，将此信息存在cookie中是最简单的，但由于cookie可能被篡改，这种方式十分不安全。
另外可以将信息存放在session中，但是由于session使用客户端存储的sessionid进行用户识别，用户可以将sessionid删除，此时服务器只能认为这是一次全新的请求则不会出现输入验证码的要求。
综上，在存储某一用户或PC尝试登陆次数时，不能使用cookie或session，而应该存在服务器的某一全局变量或数据库等地。