2
我正在開發一個社交網絡,我想知道如果在用戶的個人資料頁面中,我可以將用戶標識存儲在數據庫中作爲url中的參數,或者在安全性方面它是一個壞主意嗎?將用戶標識作爲url參數安全嗎?
我想讓網址成爲書籤。我應該把另一件事情,而不是用戶ID?
A
回答
4
就安全性而言,將用戶標識放在網址中沒有問題。例如,StackOverflow已經做到了這一點:https://stackoverflow.com/users/3477044/aliuk
重要的是驗證當前已通過身份驗證的用戶是否被允許訪問此URL並代表其執行操作。
0
大多數社交網絡我一直在使用,使用用戶名作爲url不id,當然它也影響seo,因爲你有「漂亮的網址」。
安全性實際上取決於你如何編寫你的代碼,比如說有一個頁面可以編輯配置文件,如果你把你的代碼放在這裏: UPDATE .. SET .. WHERE id = $ _GET ['id' ]
毫無疑問,這是危險的,你應該檢查每個用戶的行動,例如張貼/編輯個人資料等,誰是登錄,沒有什麼是對當前的URL標識
0
如果您保護您的網站針對SQL它是安全的注射。 但是,如果違反事件發生,所有用戶都可以使用。只有黑客需要做的事情是找到用戶配置文件獲取他的ID。複製sql注入的輸出。轉到文本編輯器。按ctrl - f並搜索用戶標識。
+0
但是黑客可以使用其他任何數據而不是用戶標識來做同樣的事情,不是嗎? – Aliuk
+0
你的答案缺乏很多。這個問題不僅僅是SQL注入,還包括直接暴露URL中的任何數據庫ID帶來的操作安全問題以及不安全的直接對象引用。 –
相關問題
- 1. 網絡安全 - url參數安全嗎?
- 2. URL安全參數
- 3. 將密碼作爲腳本參數傳遞 - 安全嗎?
- 4. 使用fflush(stdout)作爲fprintf()參數安全嗎?
- 5. 安全地將用戶標識從ASP.Net傳遞到Javascript
- 6. 將ConcurrentBag作爲通知安全嗎?
- 7. 使用.txt文件作爲元標記數據庫安全嗎?
- 8. 作爲應用程序池標識的域用戶 - 安全漏洞?
- 9. 使用iOS APP的捆綁標識符作爲密碼安全嗎?
- 10. 依靠Facebook用戶標識作爲永久性用戶標識
- 11. 使用`$`作爲C/C++中的標識符是否安全?
- 12. 從url中識別Facebook用戶標識?
- 13. 將jwt放入url作爲GET請求的查詢參數是否安全?
- 14. 將db項目的ID作爲url參數傳遞是否安全?
- 15. 揮發性作爲參數標識
- 16. 使用用戶輸入作爲key_name安全嗎?
- 17. Parse.com:標識用戶的默認參數?
- 18. 文檔_id是否可安全地用作URL中的參數?
- 19. 正在使用主標識符的唯一標識符更安全嗎?
- 20. PHP:使用index.php作爲bootstrap安全嗎?
- 21. 用URL Replace.string作爲參數
- 22. 將數組作爲url參數傳遞
- 23. 將JavaScript標記爲安全
- 24. 安全的URL參數驗證的ASP
- 25. 帶有「安全」參數的url templatetag?
- 26. 安全性:URL中的主鍵參數
- 27. 爲URL安全放置標題別名
- 28. 我可以將字符串標識符作爲函數嗎?
- 29. 將Task作爲方法參數傳遞是否安全?
- 30. 將LARGE_INTEGER.QuadPart作爲size_t的參數傳遞是否安全?
其他用戶也可以查看此網址,但不會在此處進行任何更改。 –