Security 如果我在cookie中存储userid、username和其他此类信息，安全性是否有问题

如果我在cookie中存储userid、profileId、username和其他此类信息，安全性是否有问题。

是的，这样做会带来巨大的安全问题。如果您不加密cookie，任何人都可以用例如Administrator（通常id=1）替换您存储的用户名，并向web服务器发送请求

---

这些信息经常需要，我可以一次性从Sql中获取这些信息，而不是每次都进行Sql查询，将其存储在cookie中（当用户登录时），然后从cookie中获取。我认为这样会更有效

是的，您可以这样做，但前提是这些数据是否正确并不重要

用户可以编辑自己的cookie

如果他想将显示名称更改为其他名称，或者获得不同的背景图片，可能没有问题

如果他能模仿其他用户，这是个大问题

所以，为了安全起见，最好不要走这条路

---

如果需要性能改进，请考虑服务器端缓存解决方案。

还有什么？你会在cookie中使用用户名做什么？这些信息需要经常使用，而不是每次我都可以从Sql中获取这些信息时都进行Sql查询，而是将其存储在cookie中（当用户登录时）然后从cookie中获取数据。我认为这样会更有效率。您确实需要将这些数据存储在靠近服务器而不是客户端的http会话中。这取决于他如何使用cookie。@cherouvim，这是正确的，但我假设如果他想在cookie中存储userid和profileid，那么它就能够识别服务器上的用户。我认为您可以加密除用户名之外的所有用户数据，并且只在服务器上保存用户名和密钥。通过这种方式，您可以节省服务器上的空间，并且没有人可以管理用户数据。（如果有人更改用户名，密钥将不适用。）@kasten，所有这些都是一些假设情况。OP询问在cookie中存储userid、profileid、username是否存在安全问题，但没有提及任何有关加密的内容（如果他这样做了，他还应该提及应该使用什么算法，等等，记住著名的填充Oracle攻击），并且没有进一步的信息，似乎存在很大的安全风险。