大型网站如何保管用户的密码是SESSION还是COOKIE?

很想知道大型网站是如何保存用户登录信息的?
如果用SESSION的话,一段时间不操作后就会要求重新登录,但是用户很可能出现半个小时甚至一个小时不操作,SESSION资源占用比较严重,有损性能。
如果用COOKIE的话,一旦被人攻破数据库后,即使密码是加密的,但是据说可通过修改COOKIE达到正确登录效果。
各位朋友如何做的?
另外密码的盐值是如何保护密码的?
谢谢!

解决方案 »

  1.   

    攻破了数据库还有什么好秘密可言用Cookies加密保存
      

  2.   

    密码通常都是放在数据库里面用了特殊算法加密后存储到数据库的当你验证成功后,用户信息如果是要求安全性的可以加密后存储在cookie里面,并设置过期时间。用SESSION的话,一段时间不操作--那就是设置过期时间,看你怎么设置合理,不要客户要求多长时间的等待,你就设置多少的过期时间,而应该是你自己根据实际情况来定!
      

  3.   

    我看很多大网站都是用COOKIE的攻破数据库?这么容易攻破还叫什么大型网站
      

  4.   

    密码通常都是放在数据库里面用了特殊算法加密后存储到数据库的当你验证成功后,用户信息如果是要求安全性的可以加密后存储在cookie里面,并设置过期时间。用SESSION的话,一段时间不操作--那就是设置过期时间,看你怎么设置合理,不要客户要求多长时间的等待,你就设置多少的过期时间,而应该是你自己根据实际情况来定!
      

  5.   

    密码通常都是放在数据库里面用了特殊算法加密后存储到数据库的当你验证成功后,用户信息如果是要求安全性的可以加密后存储在cookie里面,并设置过期时间。用SESSION的话,一段时间不操作--那就是设置过期时间,看你怎么设置合理,不要客户要求多长时间的等待,你就设置多少的过期时间,而应该是你自己根据实际情况来定!
    ----------
    bs楼上这样的粘贴流
      

  6.   

    普通用户用cookie,当然你得加密.而管理用户用session,安全至上
      

  7.   

    用session就能摆脱cookies吗?安全是相对而言的...
      

  8.   

    不需要“攻破数据库”,也不需要“解密”Cookie,只要Cookie可以复制,也就可以伪造身份了。
      

  9.   

    cookie  不安全 还是建议session  你可以根据情况设置时间
    密码一般用最简单的比如MD5,SHA1加密就很安全了 攻破了也没有问题
      

  10.   

    前台客户用cookie,后能管理用session
      

  11.   

    bwangel(永远的裤衩) 
    的想法不错
      

  12.   

    用session,cookie不安全,而且有些浏览器好象不支持!