SESSION可以伪造吗????电子商务的安全性.

电脑是人造的,所以不排除任何电脑技术被人攻破的可能性
但是session确实很难攻破
post是很普通的,明文方式的http传输方式
除非在代码上使用巧妙的编写方式,要不然,依靠web服务器等,是无法很好实现站外提交post信息的

解决方案 »

  1.   

    当register_globals=off时
    已无伪造的可能了
      

  2.   

    站外POST太容易了
    这个防不防没多大用处
      

  3.   

    回复人: xuzuning(唠叨) ( ) 信誉:645 
    当register_globals=off时
    已无伪造的可能了
    ---------------------------
    老大说话就是直接明了
      

  4.   

    HTTP做电子商务如同鸡肋,HTTPS是解决之道~~~
      

  5.   

    就怕别人把SESSIONID得到了。
      

  6.   

    http secure嘿嘿,估计全称是这样
      

  7.   

    很多地方都用HTTPS的..像NOKIA啊,MSN啊,GOOGLE的ADSENSE啊
      

  8.   

    session变量名要不规则,不要让别人猜到
      

  9.   

    比如我的页面是www.sina.com.cn/test.php
    那我在我自己的机器上建一个页面.然后FORM的URL指向www.sina.com.cn/test.php.提交方式是POST.
    那POST的变量是不是www.sina.com.cn/test.php也可以接受到?
    -------------------------------------
    可以,但是可以通过判断是否是站外链接提交来提高安全性。
      

  10.   

    HTTP做电子商务如同鸡肋,HTTPS是解决之道~~~
      
    支持
      

  11.   

    https的效率比较低,占用资源也大,所以同意楼上,只应该在关键的部分使用ssl
    session可以满足一般的安全需要,除非是像在线支付之类的,不然不需要ssl
      

  12.   

    SESSION并不能满足窃听泄密的问题~~~
    我并不反对syre(神仙)的说法,但是关键部分使用SSL并不是说说那么简单的~~~
    对于SESSION验证,还没有一个很好的办法让其跨域(不是不可能,而是不完善),那么跨协议就更如登天。同时HTTPS解决的并不是SESSION身份伪造,它解决的是HTTP协议的明文传输问题。
    严格的说“session可以满足一般的安全需要,除非是像在线支付之类的,不然不需要ssl”这句话是错误的~~
      

  13.   

    支持mikespook(懒猫开始新生活)的说法。
      

  14.   

    多谢楼上的解答.i2346,有好多复杂的问题我已经不去考虑了.
    但有的时候做起来的时候总是会不知不觉的去想.
    头痛的很..可惜现在已至年关.想找一个一同合作的伙伴也难.只能单干.这边上头开始催了.不得已.只能做一步算一步.细化的东西以后再想."懒猫开始新生活"SSL的话在实现电子支付的时候绝对要用.我想尽量在一些安全性比较重要的情况下使用.
      

  15.   

    要学的有好多呀,HTTPS,SSL还有电子商务理论。什么时候能学完呀??不如楼上的朋友给推荐几本这方面的书或资料吧。也好入门者学习研究一下。