-1

我目前正在编写一个也可以通过 Internet 访问的 Intranet。使用 jQuery,当用户在登录屏幕中键入他的电子邮件时,jQuery 会请求一个 PHP 页面(例如 picture.php?u=username)并显示他的个人资料图片,以便他可以查看他的。如何防止黑客直接picture.php使用所有可能的电子邮件呼叫我并检查它们是否存在?我应该删除这个功能吗?

4

2 回答 2

0

当电子邮件不存在时,您可以返回随机用户的图片(在 php 页面中),这样黑客就无法查看具有该电子邮件地址的帐户是否存在。

于 2014-09-07T13:35:20.570 回答
0

当用户登录他/她的帐户时,应用程序应该生成一个随机令牌并将其存储在会话中。每当向用户显示任何表单时,令牌都应该作为隐藏的输入字段出现在页面中。应用程序逻辑必须检查令牌并确保它与会话中存在的令牌匹配。如果未找到匹配项,则意味着有人试图从应用程序外部访问 url,您可以简单地退出脚本。

于 2014-09-07T13:46:38.213 回答