这种保护管理页的办法有没有什么漏洞?
利用session,登录成功之后Session[ "AdminUserName "]= "XXX ";
然后在后台其它需要保护的管理页的Page_Load里头加下面代码:
if(Session[ "AdminUserName "]==null)
{
Response.Redirect( "../NotLogin.aspx ");
}
如果非法登录,则直接返回到NotLogin.aspx页面。
这样的保护方法有没有不安全的地方?
另外:
if(Session[ "AdminUserName "]==null)
{
Response.Redirect( "../NotLogin.aspx ");
return;
}
如果这里加个return;是不是多此一举?
[解决办法]
1
使用 Session, 就是这样验证的
2。
asp.net 建议使用 Forms 验证
Forms 身份验证提供程序
http://msdn2.microsoft.com/zh-cn/library/9wff0kyh(VS.80).aspx
