Сессия после входа в систему и возможность взлома

Question

Я хочу знать раз и навсегда

в классическом ASP!

, если у меня есть такая форма

<form action="login.asp" method="post">
<input type="text" name="username" value="" />
<input type="password" name="password" value="" />
</form>

и на странице login.aspя проверяю правильность имени пользователя и пароля, я даю сеансу ("loggedin") значение

, затем на каждой странице я проверяю этот сеанс и это значение

мой вопрос - это то, чтоправильно, самая обычная безопасная вещь, которую нужно сделать ???или я что-то пропустил?

Answer 1

Я наконец-то перехожу на .Net (хорошо и плохо ... Мне понравился классический ASP), но как я справился с ним в классическом ASP, чтобы сделать его управляемым:

Создайте включаемый файл, например так:

if (nz(session("users.userid"))=0) then
    'PUT YOUR LOGIN CODE HERE
    session("users.userid") = userId
else
    'CODE TO DISPLAY LOGIN FORM
    response.end
end if

Включите это в верхней части каждой страницы, которая должна быть защищена.Если они не вошли в систему, он выдаст форму входа.Очевидно, вы можете сделать это более полезным, чем это, но это так ясно, как я мог бы объяснить.

Answer 2

Это довольно стандартно, вы можете использовать SSL в сочетании с этим для повышения безопасности. Также у вас может быть другое значение сеанса / cookie, которое является хешем IP-адреса пользователя и некоторым другим секретным значением, и проверять IP-адреса каждый запрос.