1

我的应用程序允许用户通过电子邮件邀请他们认识的人。如果受邀者尚未注册,我们会发送一封电子邮件,要求受邀者进行注册。

我希望能够发送包含电子邮件 GET 参数的唯一注册链接,并在应用程序端使用此 GET 参数来填充注册表单的电子邮件字段。

我这样做会引入任何额外的安全漏洞吗?

一个例子...

电子邮件地址:https ://www.domain.com/signup?email=me@email.com

然后应用程序将使用 params[:email] 从 URL 中检索电子邮件并将其设置为注册表单的电子邮件字段。

4

2 回答 2

0

不; 只要您将该字符串视为不受信任的数据并进行适当处理,就不会引入任何漏洞。

于 2013-02-02T15:09:50.093 回答
0

您可能会泄露一些数据。如果你做了序列号,我得到了 999,我会知道尝试 999 及以下的数字,我就能得到电子邮件地址。

以下是关于如何生成随机、唯一参数的一些想法:PHP:如何生成随机、唯一、字母数字字符串?

不过,您需要输入电子邮件地址而不是 ID。

于 2013-01-31T19:06:18.523 回答