0
我正在我的網站上創建新聞Feed。我想要捕捉特定帖子上的喜好和評論。我的基本實現是,我提供post id作爲'like'按鈕的ID,它將調用一個方法在post_like映射表中添加一個條目。在新聞Feed中,如果用戶可以看到帖子的ID,那麼它是否安全?
但是方法/ webservice和帖子的ID在源代碼中對最終用戶是可見的。這可能會導致網絡釣魚攻擊等。我如何保護這些數據,以便用戶不能訪問任何其他帖子。
A
回答
0
如果你想避免鏈接僞造控制訪問,你需要某種類型的哈希的其他職位,而不是一個ID,一些解決方案可能是:
使用同樣的伎倆電話卡等系列化卡做的時候,卡號是一個id與一個固定的數字位數的連接,一個隨機生成的密碼也有固定數量的數字。
- 創建一個方法來生成一個唯一的散列並將其作爲一個字段存儲在同一個帖子的表中,然後將其用作參考而不是id。
0
如果你的ID不猜測的(即,如果它們是隨機從一個足夠大的數字空間,只有這個數字空間的一小部分是有效身份證件在任何給定的時間分配),你應該精細。順序ID當然可以很容易地通過觀察一個來猜測。
使用random (i.e. 'Version 4') UUIDs應該就足夠了。 (並且等價地,任何具有至少122位熵的隨機值也將如此。)
您可能還想要查看cross site request forgery prevention的相關主題。
0
您應妥善處理髮布視圖請求。 在您的PHP檢查中,每次單獨查看帖子時,該帖子是與特定或非登錄用戶共享的。
但是,這將是一個複雜的用戶基本上,你也可以使用長sha1或md5加密和存儲該散列在一個單獨的列,你也可以使用crone作業及時更新哈希。因爲用戶不能通過使用一個帖子的散列來猜測其他帖子的散列,所以根據您當前的實現散列user_id並將它們存儲在數據庫中是個不錯的主意,您還可以在您的數據庫表中設置唯一的散列列。不需要解密哈希,因爲它們不可解密,您可以在處理類似請求和註釋請求時直接比較它們。
相關問題
- 1. 是否有可能向用戶feed發佈帖子出現在新聞源中?
- 2. 是否可以在android中獲取twitter用戶的電子郵件地址?如果是,那麼如何?
- 3. PHP:php_sapi_name()是否安全(用戶可以操作它)?
- 4. 用戶是否可以看到您的php代碼會被視爲不安全?
- 5. 在每個人都可見的用戶Feed中發佈帖子
- 6. 如果Java只訪問線程安全對象,那麼它是一種在Java中是安全的線程嗎?
- 7. 用戶會在他們的牆上看到帖子,如果帖子是在應用頁面上製作的
- 8. FQL查詢以查看用戶是否喜歡帖子
- 9. 如何使用圖表api發佈新聞Feed時設置帖子的屬性
- 10. 如何格式化Facebook分組應用程序帖子的新聞Feed描述?
- 11. 如果Magento中的local.xml可公開訪問,那麼安全問題是什麼?
- 12. 用戶是否可以看到iOS應用中使用的包ID?
- 13. 那麼unique_ptr可以在stl集合中安全使用嗎?
- 14. 是否可以發送Feed以更新在foursquare中的列表?
- 15. 如何獲取Facebook用戶新聞源的所有帖子?
- 16. 在Facebook上獲取用戶詳細的新聞源(牆)帖子
- 17. 如果在模型中可以訪問確定某人是否已登錄的cookie,那麼它是否存在安全漏洞?
- 18. 我正在查看是否有人可以告訴我這是多麼安全
- 19. 如果手動安裝,可以看到magento中的安全修補程序嗎?
- 20. 標題位置 - 在帖子中返回網址 - 是否安全?
- 21. 如果我喜歡從group/news feed獲得最新的feed,那麼在key中使用什麼?
- 22. 如何在使用Google Feed API時獲取帖子ID?
- 23. 是否可以在Visual Studio 2013中安裝v140構建工具?如果是,那麼如何?
- 24. 是否可以安全使用java.io.BufferedOutputStream?
- 25. 是否可以安全使用socket.io?
- 26. 我設置的子域,但如果用戶切換子域其他用戶的帳戶,它是不安全的
- 27. 如何使用FQL返回新聞Feed
- 28. 安全:AJAX帖子
- 29. 使用php自動添加用戶的帖子到他們的facebook新聞源
- 30. 我怎樣才能從simplepie的帖子獲得一個id,以後可以用它來查看它?