[quote=引用 32 楼 xiceblue 的回复:] 使用用户id这种关键性的id,并且公开,这种是很不好的。 首先,用户量别人可以轻松知道; 其次,当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理); 最后,安全问题,例如你的某个请求中,是依靠客户端传递这个id的,这种情况下,完全就可以进行模拟请求,更改信息。 不要小看这个关键信息的id,泄露以后,高手可以从你的一个不小心,就黑掉你的某些功能!
[quote=引用 34 楼 jianlanzq 的回复:] [quote=引用 32 楼 xiceblue 的回复:] 使用用户id这种关键性的id,并且公开,这种是很不好的。 首先,用户量别人可以轻松知道; 其次,当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理); 最后,安全问题,例如你的某个请求中,是依靠客户端传递这个id的,这种情况下,完全就可以进行模拟请求,更改信息。 不要小看这个关键信息的id,泄露以后,高手可以从你的一个不小心,就黑掉你的某些功能!
使用用户id这种关键性的id,并且公开,这种是很不好的。 首先,用户量别人可以轻松知道; 其次,当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理); 最后,安全问题,例如你的某个请求中,是依靠客户端传递这个id的,这种情况下,完全就可以进行模拟请求,更改信息。 不要小看这个关键信息的id,泄露以后,高手可以从你的一个不小心,就黑掉你的某些功能!
其实从应用本身就已经得出结论! 1、邀请码是一个临时数据。 2、如果同时我邀请的100个人,系统如何通过邀请码区分。
擦。。 找到问题了。 对对对。。。。。。。。。这是个问题。。。 如果被邀请人无意间更改了 ID,若提醒ID不存在,则暴露用户量,若不提醒,则影响用户使用。 非常感谢。。。!
商业上来说,这就会泄露注册用户量
知道了 那假如你邀请了我,URL里跟上你的ID 我完全可以不用你发给我的URL,而是把你的ID替换成另一个熟人的ID(即使他从未邀请我),然后我用这个URL进入页面,注册,注册完积分给他了,而不是给你
如果你所谓的"邀请",仅仅是想让别人看某个贴子,那么完全可以不加任何参数,而不是带上被邀请用户的ID
怎么不涉及安全问题 如果你这样做 那么我知道了你的ID,就可以自己拼接个URL然后登进去操作发给你的邀请,你觉得这样对吗
62,046
社区成员
669,049
社区内容
加载中
.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。
希望和大家一起共同营造一个活跃、友好的社区氛围。
试试用AI创作助手写篇文章吧