day15 个人博客项目&登录验证&Cookie&Session&验证码安全

最新推荐文章于 2024-05-14 11:40:31 发布
最新推荐文章于 2024-05-14 11:40:31 发布
阅读量344 收藏 1
点赞数
分类专栏: 小迪网安笔记 文章标签: 安全 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hesysd/article/details/124607256
版权

前言

#知识点:

1、后台验证-登录用户逻辑安全

2、后台验证-COOKIE&SESSION

3、后台验证-验证码&万能密码等

判断用户的身份:

由于后台本身有多个功能文件页面

1.在每个文件里面添加判断代码

2.创建一个文件专门用来判断,其他文件包含调用它

登录用户逻辑安全

1.发送登陆请求 账户 密码

2.接受账户密码

3.判断账户密码的准确性

正确 成功登陆 》》跳转到成功页面

错误 登陆失败》》 重新登陆

后台管理系统有多个文件页面,为了方便验证,一般会选用cookie或session验证身份

cookie:身份验证 存储到客户端浏览器内

cookie安全:cookie修改 伪造 盗取

session: 身份验证 存储到服务端服务器内

session安全: 会话劫持(session劫持)

COOKIE验证

通过setcookie启用cookie功能 ,随机定义一个变量赋值。

然后验证这个cookie是否为空,为空则判断不是管理员!

攻击者可以通过抓包工具,进行对cookie的修改,或者通过XSS攻击,来获取管理员的cookie,从而直接登陆后台页面。

SESSION验证

通过session_start();函数启用session功能。

然后赋值。

通过if 判断 user是否等于admin 。等于则就是管理员。

session相对于cookie来说,用户登陆后,服务器会建立一个连接。然后服务器将一个特有的会话编号sessionid发给客户端,客户端登陆的时候必须带上这个id。

Cookie和Session的区别与比较

1.Cookie放在浏览器上,Session放在服务器上

2.cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。

3.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE。

4.单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

匿名用户0x3c
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
day16_cookie&session源代码.zip
11-03
day16_cookie&session源代码.zip
授权认证登录CookieSession、Token、JWT 详解
热门推荐
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession 的区别 五、什么是 Token(令牌) Acesss Token ...
Day09_cookie & Session
08-11
cookiesession的用法原理,生命周期
Django 05 :管理员操作 + 用户认证【 中间件 +图片验证码 + CookieSession
DLNovice的博客
03-02 1420
文章目录1、管理员操作1.1、创建表1.2、前端基础效果1.3、新建管理员(确定密码)1.4、编辑1.5、删除和重置密码1.5.1、删除1.5.2、重置密码2、用户认证(登录)2.1、CookieSession什么是Cookie?什么是SessionSessionCookie的区别?2.2、用户认证—基本实现2.3、体验中间件2.4、中间件实现【登录校验】2.5、注销2.6、图片验证码2.6.1、生成图片验证码2.6.2、图片验证码【显示】2.6.3、图片验证码【校验】 1、管理员操作 创建管理员
Spring Session学习(一)
老枪的世界
09-08 454
SessionCookie这两个概念,在学习java web开发之初,大多数人就已经接触过了。最近在研究跨域单点登录的实现时,发现对于SessionCookie的了解,并不是很深入,所以打算写两篇文章记录一下自己的理解。在我们的应用集成Spring Session之前,先补充一点SessionCookie的关键知识。SessionCookie基础由于http协议是无状态的协议,为了能够记住请
asp.Net Cookie实例
隨鈊鎍慾
11-29 1531
<br />//写入 protected void Button2_Click(object sender, EventArgs e) { HttpCookie cookie=new HttpCookie("MyCook");//初使化并设置Cookie的名称 DateTime dt=DateTime.Now; TimeSpan ts = new TimeSpan(0, 0, 1,0,0);//过期时间为1分钟
第十天:信息打点--个人博客项目&登录验证&Cookie&Session&验证码安全
m0_51322401的博客
12-14 147
这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,⑤单个Cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个CookieSession是没有大小限制和服务器的内存大小有关。②session 能够存储任意的 java 对象,cookie 只能存储 String 类型的对象。【cookie在过程中可以被修改,而后者在第一次使用后就会被清除,下一次重新生成,因此无法修改】PHP验证的代码看不到,你能看见的是代码执行后的结果,只能黑盒测试。
Cookie & Session & kaptcha验证码
苏瞳的博客
06-09 346
服务器通知客户端保存键值对的一种技术。cookie 是 servlet(服务器) 发送到 Web 浏览器(客户端)的少量信息,这些信息由浏览器保存,然后发送回服务器。客户端有了 cookie 后,每次请求都发送给服务器每个 cookie 的大小不能超过 4 KB。 3. 服务器获取Cookie CookieUtils.java 4. Cookie的修改 5. Cookie的生命控制 Cookie的生命控制,即Cookie什么时候销毁API:修改后记得 resp.addCookie(cookie)
关于登录界面登录验证,个人项目
awodwde的博客
07-17 755
阿里巴巴素材库这个网址可以找图标,比如验证码的图标等等 @Controller //注解使类加载 @ReuestMapping("/system") //注解请求的路径 public class SystemController{ @RequestMapping(value="/login",method=RequestMethod.GET) public ModelAndView login(ModelAndView model){ model.setViewName("system/login
jsp+servlet之验证码
Joker的博客
09-09 151
记录学习,供己用! 画板servlet --》CheckCodeServlet package com.anbo.test; import java.awt.Color; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.IOException; import java.util.Rando...
day08-HTTP&Tomcat&Servlet
10-28
day08-HTTP&Tomcat&Servlet
day01_HelloWorld&常量.pdf
11-02
day01_HelloWorld&常量.pdf
day16_cookie&session.rar
03-15
通过session判断用户输入的验证码是否相等通过session判断用户输入的验证码是否相等
请问管理员登录验证session还是cookie好啊!
古老的未来
09-13 3682
如果你想做简单一点。那就用session。一行代码就可以保存管理员的登陆状态,在session有效的时间内。再次访问页面不需要重新登陆。 但是,这个有一个弊端。就是现在的web编程思想:轻服务器端,重客户端。也就是尽量减轻服务器端的压力(少在服务器端存储数据,等等)。应该尽可能的将一些可以放在客户端的数据,放在客户端。而且,有一些很注重性能的架构师,以asp.net为例。他会直接禁用掉所有s
PHP 超简单的SESSIONCOOKIE制作登录验证
Amecai的学习博客
03-27 2179
第一步,制作一个提交信息的表单页面 这里我不过多叙述,都能懂的 把他命名为login.php <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>管理页面登录</title> </head> <body> <form act...
鉴权之cookiesession、JWT
wxiao_xiao_miao的博客
09-26 1078
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
html session验证登录,cookie+session验证登录
weixin_33970994的博客
06-09 409
设置session过期时间需要用到的配置SESSION_SERIALIZER = 'django.contrib.sessions.serializers.PickleSerializer'视图函数from datetime import datetime, timedeltafrom django.contrib.auth.hashers import check_passwordfrom dj...
前后端登录验证cookie和token
吮指原味鸡的博客
03-01 2966
这里写目录标题一、web开发模式1.基于服务的渲染的传统web开发模式2.前后端分离的开发模式二、 身份认证三、http的无状态性四、突破http的无状态性五、Cookie1.cookie的特性 一、web开发模式 1.基于服务的渲染的传统web开发模式 服务端渲染的概念: 服务器发送给客户端的HTML页面,是在服务器端通过字符串的拼接,动态生成的。因此客户端不需要使用ajax这样的技术额外请求页面的数据 优点: 1.前端耗时少。 服务器端动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端,更
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 976
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
scanf("%d",&day)
10-17
这是一个 C 语言中的输入语句,用于从标准输入流中读取一个整数并将其存储在变量 day 中。scanf 函数的返回值为成功读取的参数个数,如果返回值小于参数个数,则表示读取失败。 相关问题: 1. scanf 函数还支持哪些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

匿名用户0x3c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值