PHPを使用してデータベースインターフェイスを作成しています。データベースの機能の 1 つは、メンバーがオンラインでログインしてイベントに登録できるようにすることです。ユーザーが購読できる動的カレンダーファイルを作成するphpファイルを作成したいと思います。www.hostname.net/my_calendar.php?memid=123 の効果の何か。次に、ファイルは、メンバー 123 が登録したイベントをデータベースで検索し、オンザフライでカレンダー ファイルを作成します。この目的でメンバーの ID 番号を使用することのセキュリティに懸念があります。妥当な量のセキュリティでこれを達成する良い方法はありますか、それとも私が考慮していないセキュリティ上の問題があるのでしょうか。
質問する
103 次
3 に答える
1
する必要はありませんmy_calendar.php?memid=123。ユーザーがログインしている場合、セッションまたは Cookie を介してユーザー ID を追跡します。したがって、次のことができます/my_calendar.php。この方法では、ユーザーは他の人のカレンダーを表示しようとすることはできません。
于 2012-10-28T19:20:10.690 に答える
1
セキュリティ上の懸念があるとはリンクしていませんが、悪意のあるユーザーがその ID で何ができるかによって異なります。たとえば、StackOverflow は、 https://stackoverflow.com/users/ 808723 /gamescripting のようなプロファイルのユーザー ID も使用します。
ユーザーに自分のイベントのみを表示させたい場合は、 xbonez が提案したアプローチに従います。
于 2012-10-28T19:30:43.110 に答える
0
ユーザーの公開情報の一部をハッシュ化してみることができます。たとえば、user_idこのメソッドhttp://blog.kevburnsjr.com/php-unique-hashを使用して、ユーザーの姓名と彼の名前をマージできます。のようなハッシュが生成されcJio3ます。はuser_id難読化されます。これは、ハッカーの侵入を阻止するものではありませんが、速度を低下させます。:)
于 2012-10-28T19:42:12.043 に答える