0

我是 Zend 框架和 PHP 的新手,但是我读过的任何内容都没有帮助我弥合我们在 chrome 上使用插件 POSTMAN 发现的安全漏洞。

基本上,我可以对从 MySQL 数据库检索信息的 URL 进行原始 POST,例如:

POST to foo.local/workspace/execute-task

[{"Contract":"f7f5d77a2fe0fda2df3a93xxxxa9b93","Packet":{},"Options":{}}]

这返回

[
    {
        "RequestId": 0,
        "Hash": "f7f5d77a2fe0fda2df3a93xxxxa9b93",
        "Status": "Success",
        "Message": "List retrieved.",
        "Data": []
    }
]

即使在注销后。登录时生成的会话令牌可以使用一次,但仍然可以在网站外部发布一次

因为我还在学习 ZEND php,所以我希望有人能给我一个提示,告诉我要向从数据库调用列表的特定模块添加什么,如果我在这里很神秘,那是为了安全起见。

有没有我可以添加到返回列表的模块的快速修复?

我有出色的谷歌技能,但如果你不确定要谷歌搜索什么就很难(我什至在我的探索中遇到了一些宗教网站,真实故事)。

让我知道是否可以添加此内容,我们将不胜感激。

4

0 回答 0