Session是保存在服务器的全局变量,但是他会将一个SessionID作为Cookie发送给客户端,以作为下次访问的凭据
Cookie是服务器发给客户端的变量,下次客户端会带给服务器,Cookie服务器是不保存的
Sessionid其实是特殊的 Cookie
Session太多会消耗服务器资源
Cookie有安全性问题
泄露隐私
Cookie欺骗
都有有效期 Session是交互间隔
1、密码的提交要用POST方式
2、需要不可逆加密
3、有密码复杂度要求(最小长度,大小写字母数字特殊字符)
4、不可逆的加密方式:MD5/sha1/sha256/SM3
不能上传执行文件(*.exe)和脚本文件*.vbs(windows);*.sh(linux)
将登陆后才能打开的URL复制到没有登录的浏览器检查,是否跳转到登录页面
Cookie不能包含隐私
Cookie不能存放影响软件的重要信息,特别是在做重要操作的时候,不能相信Cookie
session需要设置有效期,多长时间不操作就失效
在输入框内输入:‘ or 1=1 # 验证是否能登陆成功
如何避免:要将输入的内容转义后再操作数据库
cross site script
在文本框输入<script>alert("ok")</script>,若出现弹窗,即有漏洞
如何避免:需要将内容做HTMLEncoding编码再将其出入数据库
原文:https://www.cnblogs.com/hereisdavid/p/13582064.html