|
|
主题: 用此方法,妥否?
|
数码狂人
职务:普通成员
等级:1
金币:0.0
发贴:13
|
#12001/11/12 22:11:26
用户进入取回忘记密码页面时,预先把所需核对的资料(如身份证号码和密码提示答案)存入于session中,然后再与用户填写的内容进行核对,正确后才允许重新设置密码,这样做,妥否? 
|
5D荣誉斑竹
职务:普通成员
等级:2
金币:1.0
发贴:343
|
#22001/11/12 22:27:16
你怎么知道是哪一个用户?
如果不知道,你怎么确定身份证号码和密码提示答案?
如果知道,何必多此一举?
因此我建议根据用户的输入来搜索数据库中用户的信息,如果匹配,则允许修改,否则byebye
|
数码狂人
职务:普通成员
等级:1
金币:0.0
发贴:13
|
#32001/11/12 22:34:01
我的想路是这样的:用户先输入用户名,然后查找该用户是否存在,如存在则取出相关数据存放于SESSION中,然后再与用户的输入进行核对。当然如果用户不存在,就不用多说了。
|
5D荣誉斑竹
职务:普通成员
等级:2
金币:1.0
发贴:343
|
#42001/11/12 22:37:13
这样的话倒是可以。
|
数码狂人
职务:普通成员
等级:1
金币:0.0
发贴:13
|
#52001/11/12 23:10:52
但问题是:我想知道这样会不会造成泄密?也就是说别人是否可以用某种方法从SESSION中获得其内容,然后再按内容填写上去以骗取修改密码的权限?
|
5D荣誉斑竹
职务:普通成员
等级:2
金币:1.0
发贴:343
|
#62001/11/13 0:01:29
如果他能往你的站点上传文件,那么可以轻易的获取你的此时的session,
如果他开始分析检测session产生的cookie,那么也可能破获你的session。
其他的方法?我暂时还想不出来。
|
