关于PHP的session问题和网易登录的SESSION实现。

我为了登录后台,使用了SESSION功能,每次都通过GET传递SID,每个页面都传递SID。基本URL如下:www.a.com/a.php?sid=XXXXXX后来我发现一个问题,只要其他用户得到XXXXXX这个SID,在其他浏览器或其他机器输入同样的SID,就能登陆。后来我看了163的登录系统,发现很厉害,即使在同一台,新开一个浏览器登录,也显示登录错误。不晓得是怎么实现的???大家谁知道呢??

解决方案 »

  1.   

    跟踪用户的登录状态,基本是用cookie,可以测试,如果你完全禁止cookie,那么163是无法登录的。
      

  2.   

    163的登录,session是基于当前浏览器窗口的(对子窗口也有效),重新开个窗口,当然失效.一般默认情况下,session都这样的.你传递了sid,当然只要记住这个串就能保证登录成功了.这是不安全的做法.
    最好的方式就是在session的信息里做些限制,比如说IP限制,超时限制.
      

  3.   

    session只是跟踪用户楼上那位说的对,用的是cookie