-2

我们有一个应用程序,用户可以在其中获得自己的用户空间,无需登录即可创建条目。我们生成一个动态链接 Like

localhost://apps/{owncode}/userspace

owncode是我们计算出来的,code会存入数据库

用户可以为他的用户空间添加条目。

localhost://apps/{owncode}/entries/new

我如何比较(检查它是否正确){owncode}来自数据库的 url。因为我们想捕捉是否有人通过尝试和错误调用 url。

4

1 回答 1

1

如果不强制用户登录,则无法检查。您也不应该使用 URL 中的任何内容来识别他们的“用户空间”。它应该全部隐藏在会话中,与登录用户的帐户相关联。

如果您至少想owncode难以猜测,则可以生成一个长得离谱的散列字符串。但不推荐这样做,它不能保证任何安全性,并且用户仍然可以尝试猜测其他“用户空间”的字符串,而您的应用程序对此无能为力。

于 2012-08-24T15:37:58.223 回答