电脑是人造的,所以不排除任何电脑技术被人攻破的可能性
但是session确实很难攻破
post是很普通的,明文方式的http传输方式
除非在代码上使用巧妙的编写方式,要不然,依靠web服务器等,是无法很好实现站外提交post信息的
但是session确实很难攻破
post是很普通的,明文方式的http传输方式
除非在代码上使用巧妙的编写方式,要不然,依靠web服务器等,是无法很好实现站外提交post信息的
已无伪造的可能了
这个防不防没多大用处
当register_globals=off时
已无伪造的可能了
---------------------------
老大说话就是直接明了
那我在我自己的机器上建一个页面.然后FORM的URL指向www.sina.com.cn/test.php.提交方式是POST.
那POST的变量是不是www.sina.com.cn/test.php也可以接受到?
-------------------------------------
可以,但是可以通过判断是否是站外链接提交来提高安全性。
支持
session可以满足一般的安全需要,除非是像在线支付之类的,不然不需要ssl
我并不反对syre(神仙)的说法,但是关键部分使用SSL并不是说说那么简单的~~~
对于SESSION验证,还没有一个很好的办法让其跨域(不是不可能,而是不完善),那么跨协议就更如登天。同时HTTPS解决的并不是SESSION身份伪造,它解决的是HTTP协议的明文传输问题。
严格的说“session可以满足一般的安全需要,除非是像在线支付之类的,不然不需要ssl”这句话是错误的~~
但有的时候做起来的时候总是会不知不觉的去想.
头痛的很..可惜现在已至年关.想找一个一同合作的伙伴也难.只能单干.这边上头开始催了.不得已.只能做一步算一步.细化的东西以后再想."懒猫开始新生活"SSL的话在实现电子支付的时候绝对要用.我想尽量在一些安全性比较重要的情况下使用.