其实我们没有必要用这个这么复杂的商业化论坛来做这个实验，我们可以先从一个简单的，涉及到session会话的web程序入手

竟然成功了....session id 不能随便给人阿

IE下？？？？

各位老大.
我是一个初学者.
我想, 如果把登陆信息放在SESSION里面, 我不管他安全不安全,但是, 我如果按SHIFT键打开一个新的窗口.那么就会产生一个新的SESSION.
不用又要重新登陆哦.
而且,我觉得SESSION里面只是放的是一个标记,又不是放用户名和密码.只是通过这个标记判断用户是否成功登陆!

各位老大.
我是一个初学者.
我想, 如果把登陆信息放在SESSION里面, 我不管他安全不安全,但是, 我如果按SHIFT键打开一个新的窗口.那么就会产生一个新的SESSION.
不用又要重新登陆哦.
而且,我觉得SESSION里面只是放的是一个标记,又不是放用户名和密码.只是通过这个标记判断用户是否成功登陆!

你错了，session id 不是用来判断是否成功登录的关键，判断的关键是在于服务器端会把你还有其他人的会话全部维护在一个列表里面，那么服务器是怎么知道你是那一个session呢？这个时候session id 的作用就上来了。

服务器通过id找到你的session，然后判断session里面是否包含有某些关键信息，这些信息才是服务器判断你是否合法登录的关键。
如果你伪造一个session id提供给服务器，服务器则会认为你才是这个session id的主人，然后会把上面的信息全部映射给你。

我靠,你说了一大堆的费话,倒是找到session id没有?

ie的偶还是找不到呀~555

老k叫我来，我不懂，也没兴趣，我已经改行了，转回C#工作了~~~

到底是真是假？