不登录:浏览器中直接输入登录后的地址,看是否可以直接进入;
登录成功后生成的Cookie,是否是httponly(否则容易被脚本盗取);
用户名和密码是否通过**的方式,发送给Web服务器;
用户名和密码的验证,应该是用服务器端验证,而不能单单是在客户端用javascript验证;
用户名和密码的输入框,应该屏蔽SQL注入攻击;
用户名和密码的的输入框,应该禁止输入脚本(防止XSS攻击);
错误登陆的次数限制(防止暴力破解);
考虑是否支持多用户在同一机器上登录;
考虑一用户在多台机器上登录。
推荐阅读: