我正在编写一个分类广告网站,我需要用户只点击我将通过电子邮件发送的 URL 来更新广告。实施这样的系统应该注意什么?我在网上搜索过,但没有找到这样的实现示例。
有人可以提供一些关于正确路径的线索吗?
最好的祝福,
问问题
55 次
1 回答
2
首先,SQL 注入将是一个需要担心的主要问题,尤其是在使用明显的 get 参数时。
其次,您将需要 GET 参数中的非个人识别信息。你不会想要像 123456 这样的短 ID,因为这些很容易被猜到。GUID(例如 412dc535-03dd-4887-b702-02c8b85e8891,您当然会删除 - 当然)对此非常有用。
第三,您将需要某种基本验证,以确认它实际上是发起请求的用户。让每封电子邮件都有自己的一键操作 ID,可能是一个 GUID(一长串随机字符),并让它们在一段时间(几天)后过期。分别跟踪每个电子邮件链接以及它们应该做什么,这样人们就不能只找出某人广告的 ID 并一遍又一遍地运行它。
〜基督徒
于 2013-02-12T23:29:00.207 回答