我正在使用 PHP 编写数据库接口。数据库的功能之一是允许会员在线登录和注册活动。我想创建一个 php 文件,该文件将创建一个用户可以订阅的动态日历文件。www.hostname.net/my_calendar.php?memid=123 的效果。然后该文件将在数据库中搜索成员123已注册的事件并即时创建日历文件。我担心为此目的使用会员的身份证号码的安全性。是否有一种以合理数量的安全性来完成此任务的好方法,或者这里可能存在我没有考虑的安全问题。
问问题
103 次
3 回答
1
你不应该这样做my_calendar.php?memid=123。如果用户已登录,您将通过会话或 cookie 跟踪他的用户 ID。因此,您可以/my_calendar.php. 这样,用户就不能尝试查看其他人的日历。
于 2012-10-28T19:20:10.690 回答
1
我没有链接会有任何安全问题,但这取决于恶意用户可以使用该 ID 做什么。 例如,StackOverflow 也使用用户 ID 作为他们的个人资料,例如https://stackoverflow.com/users/ 808723 /gamescripting。
如果您希望用户只看到自己的事件,请遵循 xbonez 建议的方法。
于 2012-10-28T19:30:43.110 回答
0
您可以尝试散列一些用户的公开详细信息。例如,您可以user_id使用此方法http://blog.kevburnsjr.com/php-unique-hash合并用户的名字/姓氏和他的名字。这将生成一个类似于cJio3. 将user_id被混淆。这不会阻止任何黑客进入,但会减慢他们的速度。:)
于 2012-10-28T19:42:12.043 回答