限制用戶到他們的個人資料頁面

Question

在我的網站上，我有一個用戶登錄系統，當他們登錄時，他們被帶到他們的個人資料頁面，這是由他們的uid吃的deism。事情是，沒有什麼可以阻止用戶只是改變uid並轉到其他人的個人資料並以他們的名義行事。爲了阻止這種情況，我實現了一個URL/MySQL系統，通過這個系統，如果用戶的uid不是URL中的uid，他們將被重定向到他們自己的配置文件。這裏的問題是，在配置文件中有更改URL的表單，這樣做會刪除uid查詢，導致頁面（因爲缺少uid）將您帶到您的配置文件並忽略表單輸入。

的代碼是：

<?php 
mysql_connect ('x', 'x', 'x'); 
mysql_select_db ('x'); 

if(isset($_COOKIE['wd_un'])) { 
    $un = $_COOKIE['wd_un']; 
    $pass = $_COOKIE['wd_pass']; 

    $cook = "SELECT * FROM x WHERE username = '$un' AND password = '$pass' limit 1"; 
    $cookr = mysql_query($cook) or die (mysql_error()); 
     if(mysql_num_rows($cookr) == 0) { 
      header ("Location: index.php"); 
     } 
     else { 
      $urluid = mysql_real_escape_string($_GET['uid']); 
      $uidcheck = "SELECT * FROM x WHERE username = '$un' AND password = '$pass'"; 
      $uidcheckq = mysql_query($uidcheck) or die (mysql_error()); 
      while($rcu = mysql_fetch_assoc($uidcheckq)) { 
       $dbuid = $rcu['uid']; 
         if($urluid != $dbuid) { 
          header ("location: home.php?uid=$dbuid"); 
         } 
         else { 
         } 
      } 
     } 
    } 
mysql_close(); 
?> 

有沒有解決辦法？

Answer 1

此代碼塊您在這裏是壞的。

首先，絕對不要將用戶的密碼存儲在cookie中。 您應該只在cookie中存儲會話ID，然後將剩餘的會話數據存儲在數據庫中的會話表中，其中包含用戶的ID和任何其他您可能想要基本訪問的內容......密碼應該不在此表中。

現在，您可以安全地使用URL中的user_id，因爲交叉引用會讓人不在。

加載當然，你交叉引用你的會話表中的mysql結果，該結果是根據你的cookie標識符來提取的。如果它們不匹配，很明顯會啓動它們。

至於你的表單重定向，你需要重構你如何處理髮布然後。您可以使您的個人資料頁面始終只吸引與Cookie中與會話ID相關的個人資料。這將消除對URL的依賴並完全解決此問題。

另請參閱mysql_real_escape_string（）來清理輸入。盲目接受mysql查詢的cookie信息是非常危險的。除非你真的打算在你的網站留下巨大的注射孔。

Answer 2

您應該使用Cookie ID來標識用戶，而不是從URL中拉出用戶。如果cookieID不匹配UserID，則重定向到他們自己的配置文件。

基本上，絕對不要使用url來傳遞私人數據的用戶ID。始終引用cookie。

僅依靠URL字符串來標識用戶是您所描述的可用性問題之上的巨大安全漏洞。