Foxtable(狐表)用户栏目专家坐堂 → 手机登录的安全问题


  共有3594人关注过本帖树形打印复制链接

主题:手机登录的安全问题

帅哥哟,离线,有人找我吗?
lihe60
  1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
手机登录的安全问题  发帖心情 Post By:2019/1/2 7:34:00 [显示全部帖子]

手机通过用户名登录网页,wb.AppendCookie("userid1",yh_dr("用户编号")),这样可以获取用户编号,通过这个用户编号筛选数据。这是需要达到的目的。

在一部手机上进行上述操作后,退出网页,直接输入一个网址,发现e.cookies("userid1")的值不为空,为上述操作的用户编号。这样一部手机通过用户名登录网页后,以后不需要从登录界面登录,直接输入网址也可以查询数据,这样数据不安全。

目的是如果直接登录网址,不能查询数据,如何实现?

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/4 9:42:00 [显示全部帖子]

用户退出时,不是按狐表设置的按钮,按的是手机自带的退出功能。这个代码写在什么地方?

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 12:12:00 [显示全部帖子]

手机退出浏览器后,msgbox(e.cookies("userid1"))弹出的正确的用户编号,好危险。这样的话,手机正常登录一次,以后直接输入网址,不用再通过安全模式登录了。

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 12:16:00 [显示全部帖子]

2楼的办法也不太安全:如果用户不按套路出牌,2楼的代码是无效的。

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 12:25:00 [显示全部帖子]

手机退出QQ浏览器,再直接输入网址,会弹出e.cookies("userid1")值的。理想的情况是清空,就是说退出是没有清空e.cookies("userid1")的
[此贴子已经被作者于2019/1/12 12:26:15编辑过]

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/12 22:11:00 [显示全部帖子]

不知道用户会用什么浏览器打开网页,所以要有个所有浏览器关闭,这个cookie都要失效的代码或方法。
[此贴子已经被作者于2019/1/12 22:14:33编辑过]

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  7楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/13 21:37:00 [显示全部帖子]

这个问题有办法解决?

 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  8楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/13 22:17:00 [显示全部帖子]

如果做一个注销按钮:但用户不按常理出牌,用户直接按手机自带的退出按钮而不是按注销按钮,第2个方法不可行。
第1个方法,如果用户10分钟退出,再直接输入网址,是一样可以打开网页的,也解决不了安全问题。


 回到顶部
帅哥哟,离线,有人找我吗?
lihe60
  9楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:狐神 帖子:6793 积分:42967 威望:0 精华:0 注册:2009/3/2 14:07:00
  发帖心情 Post By:2019/1/14 9:07:00 [显示全部帖子]

那你就把间隔设置成1分钟咯。每1分钟就清空一次,这样用户每1分钟就要登录一下次,这样用户感觉不爽的。

 回到顶部