6回答

慕少森

依然存在。。

0 0

0

长风秋雁

最好是给sql提供参数，而不是直接的拼接一下。 还有对你传入的参数需要个验证。

0 0

0

呼啦一阵风

对于楼上说的，对传入的参数做验证，我认为是必须的，特别是它包含特殊字符的情况，例如--，这会注释掉其后的语句，直接使用用户名即可登录……

0 0

0

饮歌长啸

恩～同意楼上两位说的，如果是简单的字符的话会有传说中的XSS漏洞。。。。还有不知道楼主为什么一定要用cookie呢？用session做这样的验证信息不是很好吗？cookie本来就是一个可以伪造的东西，如果非要用，最好能用加密以后的cookie，比如MD5啦，混淆字符啦神马的。。。。 综上所述，安全隐患有～可能出现的危险度★★★★☆

0 0

0

慕沐林林

都没用，只要是用Cookie就存在被伪照的问题。我用sniffer捕获了。然后拿原用户的Cookie post过去照样能伪装。 重要的用SSL吧

0 0

0