62,046
社区成员
发帖
与我相关
我的任务
分享【疑问】用户邀请码为什么都是随机字符?用户ID不好吗?
现在要做一个邀请链接功能。
回想起平时遇到的各种邀请链接,后缀的参数都是各种随机码。
为什么一定得是随机码,不能直接是这个用户的ID呢?
这又不牵涉安全问题。。
请有思考过的同志解答,非常感谢。
回想起平时遇到的各种邀请链接,后缀的参数都是各种随机码。
为什么一定得是随机码,不能直接是这个用户的ID呢?
这又不牵涉安全问题。。
请有思考过的同志解答,非常感谢。
...全文
请发表友善的回复…
发表回复
-xice- 2015-02-12
- 打赏
- 举报
“当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理”。
搞笑呢?
用户后台操作时,在页面间传用户ID?别闹了。
我的后台,没有任何一个页面传用户ID的参数,所以你知道ID,又有什么用?
URL不用猜,我把我所有的URL都可以公开,但是所有页面都需要登录,所以连登录都登录不了的话,跟URL有什么关系?[/quote]
不多说了,有空你可以去了解下黑客的世界。别以为登录拦截就很安全。
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-12
- 打赏
- 举报
“当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理”。
搞笑呢?
用户后台操作时,在页面间传用户ID?别闹了。
我的后台,没有任何一个页面传用户ID的参数,所以你知道ID,又有什么用?
URL不用猜,我把我所有的URL都可以公开,但是所有页面都需要登录,所以连登录都登录不了的话,跟URL有什么关系?[/quote]
不多说了,有空你可以去了解下黑客的世界。别以为登录拦截就很安全。[/quote]
正确的废话。
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-10
- 打赏
- 举报
“当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理”。
搞笑呢?
用户后台操作时,在页面间传用户ID?别闹了。
我的后台,没有任何一个页面传用户ID的参数,所以你知道ID,又有什么用?
URL不用猜,我把我所有的URL都可以公开,但是所有页面都需要登录,所以连登录都登录不了的话,跟URL有什么关系?
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-10
- 打赏
- 举报
邀请链接,非邀请码。
-xice- 2015-02-10
- 打赏
- 举报
使用用户id这种关键性的id,并且公开,这种是很不好的。
首先,用户量别人可以轻松知道;
其次,当一个用户登录系统后,他可以用猜测url的方式,尝试去获取这个用户的其他信息(别跟我说什么session不session的问题,你只要有后台管理,都能猜url,除非你有非常完善的权限管理);
最后,安全问题,例如你的某个请求中,是依靠客户端传递这个id的,这种情况下,完全就可以进行模拟请求,更改信息。
不要小看这个关键信息的id,泄露以后,高手可以从你的一个不小心,就黑掉你的某些功能!
放纵的青春 2015-02-10
- 打赏
- 举报
用户ID暴露出去了 风险太大
三楼の郎 2015-02-09
- 打赏
- 举报
用户ID不一定是整型数,如果是用GUID做用户ID的话,其实这并不是问题
拜一刀 2015-02-09
- 打赏
- 举报
看情况,可能有时候无所谓,有的网站或游戏平时显示的id不是登陆id,暴露了id有风险,有的网站邀请码有数量限制.
从数据库的结构和查询方面不知道有什么说道没有
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-09
- 打赏
- 举报
擦。。
找到问题了。
对对对。。。。。。。。。这是个问题。。。
如果被邀请人无意间更改了 ID,若提醒ID不存在,则暴露用户量,若不提醒,则影响用户使用。
非常感谢。。。!
种草德鲁伊 2015-02-09
- 打赏
- 举报
如果网站想尽量多的任何人通过这个链接来访问,那就可以直接用用户ID.
如果是限制访问,这些数据就像通行证。
或者这串数据包含了其他信息,并不是无规律的随机字符串。
feiyun0112 2015-02-09
- 打赏
- 举报
商业上来说,这就会泄露注册用户量
本拉灯 2015-02-09
- 打赏
- 举报
这有啥好争的。阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-09
- 打赏
- 举报
因为即使是随机数,你也可以让他发给你。一样可以达到你的目的的。
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-09
- 打赏
- 举报
嗯,对。
但是你得首先知道你熟人也是我们网站的用户,并且得知道他的ID号。
那么如果具备这两个条件,就完全可以直接让熟人发他的邀请链接给你,你不用去修改的。
於黾 2015-02-09
- 打赏
- 举报
知道了
那假如你邀请了我,URL里跟上你的ID
我完全可以不用你发给我的URL,而是把你的ID替换成另一个熟人的ID(即使他从未邀请我),然后我用这个URL进入页面,注册,注册完积分给他了,而不是给你
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-09
- 打赏
- 举报
不是,是邀请其他好友注册。
然后被邀请人成功注册之后,邀请者会有一个积分的赠送。
阳光彩虹小白马嘀嘀哒嘀嘀嗒 2015-02-09
- 打赏
- 举报
1. 对,你知道了我的ID,但是你拼接出的 URL,也就是用户的邀请 URL 吧?正常后台操作时,不传 ID 的,ID 都在 session 里。
2. ”登进去“,登哪儿?后台?你只有ID,没有账户密码,怎么登啊。。
3. 这个跟随机码唯一不一样的是,这个立马可以搞到我所有用户的邀请链接,但是无所谓啊,帮我做宣传,对他也没有任何意义。
於黾 2015-02-09
- 打赏
- 举报
如果你所谓的"邀请",仅仅是想让别人看某个贴子,那么完全可以不加任何参数,而不是带上被邀请用户的ID
於黾 2015-02-09
- 打赏
- 举报
怎么不涉及安全问题
如果你这样做
那么我知道了你的ID,就可以自己拼接个URL然后登进去操作发给你的邀请,你觉得这样对吗
真相重于对错 2015-02-09
- 打赏
- 举报
其实从应用本身就已经得出结论!
1、邀请码是一个临时数据。
2、如果同时我邀请的100个人,系统如何通过邀请码区分。
加载更多回复(16)
