没有代码问题,而是应用程序设计问题。如果用户尝试登录 Web 应用程序并提供未知的用户名(或电子邮件),通常的做法是报告“未知的用户名/密码组合”或类似的内容。IE 对于用户的姓名或密码是否错误是模棱两可的。
对于“忘记密码”页面,通常会看到对用户可用于重置密码的电子邮件地址的请求。如果用户再次输入未知的电子邮件地址,是显示成功页面(可能会混淆用户)还是显示错误页面(可能显示用户已注册该应用程序)更好。如果我显示错误消息,感觉就像是隐私问题,但非常小。
当我忘记我最近重置了我的数据库时,我个人只是在我的开发服务器上受到了这个影响。我无法弄清楚为什么我的重置密码电子邮件没有通过。直到我终于select *在我的用户表上做了一个,我才意识到我在技术上甚至没有注册。