我有一个新网站。以下是我的场景:
我将向 5 个人(数字不重要)发送一封电子邮件,在电子邮件中,我将包含一个链接供他们点击:
www.domain.com/email=abc@xyz.com&key=abc...xyz
它们的密钥是使用 php 中的 salt 和 sha1 随机生成的。单击他们电子邮件中的链接后,我可以直接让他们访问更新个人资料页面吗?还是我需要让他们再次登录?
如果我直接让他们访问更新配置文件页面,我需要注意哪些安全事项?我知道登录的使用,可以存储会话,但问题是,他们点击电子邮件中的链接,我认为它非常私密和安全。
我能想到的唯一安全漏洞是:黑客可以神奇地记住“密钥”(大约 60++ 个字符),然后在浏览器中输入 URL:www.domain.com/email=abc@xyz.com&key= abc...xyz。
如果黑客能做到这一点,那我就完了。我的用户帐户将被黑客入侵。
还有什么黑客可以破解的吗?只需更新个人资料页面。
顺便说一句,如果他们已经更新了他们的个人资料,我应该删除数据库中的“密钥”吗?
我正在使用 php 和 mysql