我是 Zend 框架和 PHP 的新手,但是我读过的任何内容都没有帮助我弥合我们在 chrome 上使用插件 POSTMAN 发现的安全漏洞。
基本上,我可以对从 MySQL 数据库检索信息的 URL 进行原始 POST,例如:
POST to foo.local/workspace/execute-task
[{"Contract":"f7f5d77a2fe0fda2df3a93xxxxa9b93","Packet":{},"Options":{}}]
这返回
[
{
"RequestId": 0,
"Hash": "f7f5d77a2fe0fda2df3a93xxxxa9b93",
"Status": "Success",
"Message": "List retrieved.",
"Data": []
}
]
即使在注销后。登录时生成的会话令牌可以使用一次,但仍然可以在网站外部发布一次
因为我还在学习 ZEND php,所以我希望有人能给我一个提示,告诉我要向从数据库调用列表的特定模块添加什么,如果我在这里很神秘,那是为了安全起见。
有没有我可以添加到返回列表的模块的快速修复?
我有出色的谷歌技能,但如果你不确定要谷歌搜索什么就很难(我什至在我的探索中遇到了一些宗教网站,真实故事)。
让我知道是否可以添加此内容,我们将不胜感激。