安全地在PHP中傳遞數據

Question

我有一個網站，允許用戶A搜索和查看其他用戶。 當用戶A點擊說用戶B.我將用戶B的ID作爲GET變量傳遞。然後我在視圖中使用該ID來顯示適當的數據。這是好的做法嗎？我應該公開一個用戶ID嗎？

而且，當用戶A在用戶B的簡檔上時，他可以向用戶A發送消息。如何將用戶B的ID安全地傳遞給我的控制器？

任何幫助非常感謝。

Answer 1

有多種方法可以做到這一點。

我通常用於這種用例的一種方式是創建一個足夠僞隨機的唯一散列標識符，以便當它通過url傳遞時，用戶將無法隨意更改某些值在其中並獲得另一個用戶的配置文件。

E.g.假設你通過ID，URL將如下所示：

showProfile.php?id=1256 

將1256更改爲1257可能會顯示下一個用戶。

假如你傳遞一個散列字符串，它是足夠隨機的：

showProfile.php?id=u4n5l4534mnk43nl34n 

而這樣的哈希值不按順序，這樣就可以不爲了得到下一個改變字符/數字。

這也取決於你想如何安全，以使網站

Answer 2

所以成員之間的用戶數據共享，我在想，當用戶B的個人資料用戶A點擊，鏈接變得像site.com/profile.php?id=24嗯？ 24是用戶B的個人資料。如果是這樣的話，那就沒有問題了。在某個時候，當您搜索用戶的個人資料時，您將回顯數據庫中的某些內容，無論是身份證，用戶名還是姓。所以，id是好的，但是如果你需要專業性，你甚至可以使用用戶名，用htaccess的一點點幫助，它可能看起來好像site.com/profile/john

所以，總之你沒辦法回聲每個配置文件都有一些東西，這個數據庫還沒有。

但看你的標籤，你已經如果你正在使用的個人資料頁上，這樣的事情提到mysql：

$user = $_GET['id']; 
$query = mysql_query("SELECT * FROM USER WHERE id = '$user' "); 

嗯......這是危險並留下您的網站/數據庫OPEN進行攻擊。 因此，如果您使用的是類似於上面的內容，則應該使用PDO