有关asp程序验证登陆的安全问题
 
先看一段代码
<%  
if Request.cookies(CookiesKey)(“xxxxxxadmin”)=”" then  
Call ERRORMESSAGE()  
Response.End()  
End if  
%>  
 
这是一段登录验证的代码
 
大概意思是:如果COOKIE值xxxxxxadmin = 空 则提示错误
 
既然不让不为空，那就伪造个，比如：asdf
 
解决方法:
if Request.cookies(CookiesKey)(“xxxxxxadmin”)=”" then 改为if Request.cookies(CookiesKey)(“xxxxxxadmin”)<> password then  
 
password这个函数就查询数据库吧。
 
<>是不等于的意思
 
就会变成 如果xxxxxxadmin 不等于 密码 则 提示错误信息
 
那如果他把你密码MD5猜到了呢？？如果他无法破解，他会把这个MD5伪造进去
 
解决方法：用SESSION验证
 
SESSION增加了安全性 因为SESSION只能从服务器上获取
 
即使黑客拿到你的密码MD5值 也无法
 
除非旁注了一个服务器其他站，进行SESSION生成。