因为是第一次写网上程序,我也是在摸索有什么好的认证和控制机制。
最初本论坛在注册页中验证了用户和密码后,以后每个页面都
采用了Query String传递用户名 e.g. xxx.asp?UserName=yysun.
很快被 cpp 大虾抓到把柄,他就冒名顶替把比他分高的大富翁的分数扣掉,
自己升格为首富.(这招甚至被他贴到中国Inprise程序员论坛,好在当时我正好
在网上,与他搏斗了一小时,修改好了本论坛的程序,否则就大大乱套,要关门了)
现在用的是Cookie,每进一个页面, 验证Cookie中的用户和密码,它的有效期为
本次会话,浏览器关闭本次会话结束,再打开浏览器需要重新注册.
这样,您即使可以看Cookie中您的用户名、密码等信息,但是没有办法知道别人
Cookie中的内容,所以相对较安全些。论坛中的网络专家 pegasus 大虾曾探究
过本站的机制(我很紧张的),据说没有什么空子能钻(才松口气)。
Unix系统中,可能是通过 cgi 设置了目录/文件的用户权限来进行控制的,
每次注册后生成个临时/虚拟目录,用户具有访问权,
比如263:http://freemail2.263.net/main/html/KiyeRYknA/main.htm
^^^^^^^^^
比如Ex-Ex:http://experts-exchange.com/Q.10096106
^^^^^^^^^^
NT中如想用Delphi写类似的cgi,可以研究一下 dwwang 大虾提供的NT控件,
(在问题“NT开发工具”中)
但是可能比较困难,因为NT4与Unix/Linux的文件系统有差距,它甚至不能控
制用户的存储量(Novel Netware都有呢)。
如果您研究一下有所斩获的话,一定务请不吝赐教,在下洗耳恭听以便更新到
“大富翁论坛2000”版中。
另外我还不大明白:
>象本论坛---登陆成功后,每次切换页面,都把登陆密码用明文cookie给用户。
>嘻嘻---也够吓人的。
这是指什么情况,Any Bug?
rivate