3
有人可以請解釋爲什麼使用「$ _GET」密碼不好?
我一直在尋找幾天,現在找不到答案。謝謝!
編輯:我聽說它可以被黑客入侵。 。 。這怎麼可能/如何做到這一點?
A
回答
12
- 它使密碼對於肩上的攻擊可見。
- 它使它更可能存儲在日誌文件中。
- 它使它更有可能存儲在緩存中 - 無論是在用戶正在使用的計算機上(可能是公用計算機),也可能是瀏覽器的歷史記錄。
+0
軼事「存儲在日誌文件中「可能是nick.com的服務器狀態頁面處於打開狀態,請參閱http://arstechnica.com/security/2012/11/misconfigured-apache-sites-expose-user-passwords-other-private-data/ – Hawken 2013-04-28 19:42:59
2
$ _GET函數預設爲通過地址欄發送信息。這意味着它可以輕鬆加入書籤,因此可以發送通過它發送的信息。
我建議您使用$ _POST函數,並在文檔本身(例如index.php中)中包含密碼處理.php文件。一旦包括它就看不見了,但它確實是工作。
0
所有$ _GET值在url查詢字符串中都可見,因爲它是通過url發送的。昆汀清除了其他點。 所以不要將它用於密碼或敏感數據字段。
相關問題
- 1. 爲什麼不$ _GET工作
- 2. 爲什麼$ _GET不能工作PHP 5.3.21?
- 3. 爲什麼這段代碼不好?
- 4. 爲什麼$ _GET = index.php文件
- 5. 爲什麼不psycopg2.connect檢查密碼?
- 6. 爲什麼不允許密碼驗證?
- 7. 什麼是'不可驗證的代碼',爲什麼它不好?
- 8. 爲什麼只使用webApps userID +密碼而不是密碼?
- 9. 爲什麼不應該使用密碼作爲會話密鑰
- 10. 爲什麼密碼鹽被稱爲「鹽」?
- 11. 密鑰庫:爲什麼getCertificateChain(..)不需要密碼,而getKey需要密碼?
- 12. 爲什麼globals不好?
- 13. 爲什麼這不好?
- 14. 爲什麼performSelector:onThread:不好?
- 15. 爲什麼require_once不好用?
- 16. 爲什麼System.out.println不好?
- 17. 爲什麼#define不好?
- 18. 爲什麼seq不好?
- 19. 爲什麼ASP.NET會員供應商不加密我的密碼
- 20. 爲什麼不在OAuth中加密客戶端密碼?
- 21. 爲什麼Django不保存加密密碼?
- 22. 爲什麼PHP的mt_rand不是密碼保密的?
- 23. 爲什麼KeyValueConfigurationCollection不密封?
- 24. 爲什麼此代碼更新用戶密碼不起作用?
- 25. 爲什麼PHP中的_GET錯誤地解碼斜線?
- 26. 爲什麼$ _GET值大於URL
- 27. 爲什麼霍夫曼編碼好?
- 28. 哪個代碼更好?爲什麼?
- 29. 爲什麼要防止粘貼密碼?
- 30. 爲什麼Netbeans要求登錄密碼?
因爲它會被存儲在瀏覽器的歷史記錄中 – PeeHaa 2013-04-28 19:29:42
$ _GET意味着它會像'example.com?username = joe&password = password123'這樣的網址出現,任何人都可以查看網址並看到它 – 1andsock 2013-04-28 19:29:58