这几天做了一个东东是关于用户管理的，里面用了不少的Session，但是现在老在为Session提心。各位发表一下自己对Session的看法及安全性相关的意见。

我的Web.config设置为10分钟自动关闭，并且每次用完以后我都有关闭对话。并且现在用的是服务器线程。也想请问一下，这种方法是否安全…………对用户的密码，采用了MD5码的加密。

session 是存放在服务器端的 很安全的啊。。。。放心

以前在ASP下的时候有不少漏洞，所以现在有点怕怕。

不太好，但是还算是安全．但是只要是服务器很忙的时候．session就会丢值了！！！！

还行来着～！
只要你不把COOKIE 关掉就行！

要是把COOKIE 关掉的话 那 你的 SESSION 就不安全咯～！

他会把你的 会话ID 显示在 浏览器的地址栏里头！

希望你用的时候 别 禁用 你的 COOKIE

别用Session保存密码，一般的，如果登录成功，保存上用户名就可以了，在判断的时候，如果能取到这个用户名的Session就可以进入页面。

恩，刚刚改掉了，现在就是在登录面完成以后转入密码验证页面用Session传送一次密码，验证完成以后马上就关掉。然后只用Session保存用户名和权限。不过我老感觉用来存权限好像………………安全性也不怎样，我现在已经设置为关掉Cookie了，直接就是在服务器进程记录Session正在想别的方法，各位帮忙想想。我有个想法，能不能把所有的值存到xml里，然后再读出来…………不过这样相对效率会很差…………

To：pacocal
我想问你一句：“知道什么是杞人忧天吗？”
再有，你用的是.NET，可以在输入密码的页面处理啊，为什么要传送一次啊

是啊。你登陆验证成功以后。传个ID和权限编号就可以了。干吗还要传密码？

杞人忧天