我查了下,好像大家都推荐用 session
我也想用它,比如在session中定义 User :
在登录的检查合格后:
Session["User"]=UserName
但我觉得这样有个隐患:
如果某个黑客知道了User这个名称,然后他写一个jsp:
[code="java"]
<%
request.getSession().putValue("User","admin");
%>
[/code]
那他不就轻易入侵了?
如果黑客可以发布jsp了, 也就是说他可以修改服务器的文件。
其实 ,登录不登录已经不重要了……
你可以在加入session之前做身份验证呀,就是说提交的用户名和密码必须和你的数据库中密码一致,才能加入session的。否则,就不能放到session中。
问题是有这么容易就写个jsp就入侵?他jsp能这么轻易注入你的网站?
那你网站都能被入侵了,那还管什么session了
任何安全都是相对的,没有绝对的安全,只是时间问题。
首先。。黑客没办法将那个jsp文件放到你的服务器上面去运行。。第二,如果他将那个jsp文件放上去了,那么别说账号了,他想要什么都可以取出来。所以除非服务器攻破,不然他没法用你说的方式来入侵的。。