cookie保存登录的用户名和密码

用cookie保存登录的用户名和密码，当用户访问网站的时候，获取cookie的用户名和密码，通过用

用cookie保存登录的用户名和密码，当用户访问网站的时候，获取cookie的用户名和密码，通过用户名查找数据库里对应的密码，然后与cookie里的密码匹配，如果匹配成功则验证通过，如果匹配失败则验证失败清除cookie，请问这种验证方式是否危险？

 

蓝枫_晓 | 浏览 6780 次

发布于2015-01-19 18:39

 

最佳答案

 

当然。cookie是你的浏览器等访问网页是存在在你的本地硬盘的数据，这样你下次访问时候就很快，减少用户查询和页面下载次数。如果你的电脑中木马了，他通过本地cookie获取到你的比如网银登录帐号密码，你说会怎么样？

 

追问

你这是站在用户的角度讲的。。。我说的是服务器那边有没有可能被攻击或者被用户恶意欺骗，用户这边的资料都要加密的好吧

 

追答

。。。服务器叫session，不懂不要乱说哈。
给你参考下：
cookie 和session 的区别：
1、cookie数据存放在客户的浏览器上，session数据放在服务器上。
2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能
考虑到减轻服务器性能方面，应当使用COOKIE。
4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。
5、所以个人建议：
将登陆信息等重要信息存放为SESSION

 

 

所以说session比较安全，如果一个服务器不能做到相对的安全，那它还怎么能提供安全可靠的服务？

 

追问

我只是保存登录的用户名和密码判断登录状态而已，就像你说的session对服务器有一定的压力，而cookie你对保存的信息加密以后就不怕信息泄露了。我想问的是，我那种验证方式用户有没有可能伪造cookie登录其他账户或者进行注入攻击之类的

 

追答

可以的，这个就需要他们服务器一方有注入漏洞或者存在cookie欺骗的漏洞。

 

 

像以前的动网论坛，就有这个

 

追问

我那种验证方式可以欺骗么？

 

追答

肯定啊。你本地的cookie其实就是服务器缓存到你的电脑上的。既然服务器都能沦陷，你的本地的也木有用了。