1

誰かがこれを悪用する可能性がある方法があるかどうかはわかりません。回避策とは何ですか?この方法でコンテンツをダウンロードして、誰かが私のサーバーを悪用できるようにしたくありません。

配送ラベルを再メールで送信するオプションがあります。私は基本的にそれをセットアップしているので、ページの準備以外にデータベース作業はありません。私が考えることができる他の唯一の方法は、post変数に行のIDを設定し、そこからファイル名を取得することです。

それで、ファイル名を投稿変数として持つことは安全ではありませんか(それは潜在的に改ざんされる可能性があります)?

4

2 に答える 2

2

It's only unsafe if you're going to do something like readfile() or include() on it.

Using the row ID would be better, but even with this you still need to consider if the user should be allowed to access the file (to avoid random id=1 id=2 id=3 testing).

于 2012-10-12T06:59:52.353 に答える
2

入ってくるデータを信用してはいけません。POST リクエストは GET リクエストと同様に悪用される可能性があるため、最悪の場合、Web サイトが XSS 攻撃の手段になったり、スパミング ノードとして使用されたりする可能性があります。

ファイル名またはエントリ ID とは別に、いくつかのハッシュを送信し、これら 2 つが一致するかどうか、つまり、このハッシュに関連付けられたエントリかどうかをチェックします。したがって、乱用者は適切なハッシュも推測する必要があるため、単に異なる ID を試すだけでは機能しません。アドバイス: id やファイル名だけでなく、電子メールの送信時間とソルトもハッシュ化してください。

于 2012-10-12T07:10:10.337 に答える