Security 如果我在cookie中存储userid、username和其他此类信息,安全性是否有问题
如果我在cookie中存储userid、profileId、username和其他此类信息,安全性是否有问题。是的,这样做会带来巨大的安全问题。如果您不加密cookie,任何人都可以用例如Administrator(通常id=1)替换您存储的用户名,并向web服务器发送请求Security 如果我在cookie中存储userid、username和其他此类信息,安全性是否有问题,security,cookies,Security,Cookies,如果我在cookie中存储userid、profileId、username和其他此类信息,安全性是否有问题。是的,这样做会带来巨大的安全问题。如果您不加密cookie,任何人都可以用例如Administrator(通常id=1)替换您存储的用户名,并向web服务器发送请求 这些信息经常需要,我可以一次性从Sql中获取这些信息,而不是每次都进行Sql查询,将其存储在cookie中(当用户登录时),然后从cookie中获取。我认为这样会更有效 是的,您可以这样做,但前提是这些数据是否正确并不重要
这些信息经常需要,我可以一次性从Sql中获取这些信息,而不是每次都进行Sql查询,将其存储在cookie中(当用户登录时),然后从cookie中获取。我认为这样会更有效 是的,您可以这样做,但前提是这些数据是否正确并不重要 用户可以编辑自己的cookie 如果他想将显示名称更改为其他名称,或者获得不同的背景图片,可能没有问题 如果他能模仿其他用户,这是个大问题 所以,为了安全起见,最好不要走这条路
如果需要性能改进,请考虑服务器端缓存解决方案。
还有什么?你会在cookie中使用用户名做什么?这些信息需要经常使用,而不是每次我都可以从Sql中获取这些信息时都进行Sql查询,而是将其存储在cookie中(当用户登录时)然后从cookie中获取数据。我认为这样会更有效率。您确实需要将这些数据存储在靠近服务器而不是客户端的http会话中。这取决于他如何使用cookie。@cherouvim,这是正确的,但我假设如果他想在cookie中存储userid和profileid,那么它就能够识别服务器上的用户。我认为您可以加密除用户名之外的所有用户数据,并且只在服务器上保存用户名和密钥。通过这种方式,您可以节省服务器上的空间,并且没有人可以管理用户数据。(如果有人更改用户名,密钥将不适用。)@kasten,所有这些都是一些假设情况。OP询问在cookie中存储userid、profileid、username是否存在安全问题,但没有提及任何有关加密的内容(如果他这样做了,他还应该提及应该使用什么算法,等等,记住著名的填充Oracle攻击),并且没有进一步的信息,似乎存在很大的安全风险。