ログインフォームを作成しました。各ユーザーには、個人用のログイン URL (ユーザーごとに固有の URL) があります。たとえば、一意の UL は次のようになります。
www.my-domain.com/unique-url-for-user
url: のこの部分を取得unique-url-for-user
し、MySQL に接続して、unique-url-for-user
存在するかどうかを確認します。存在する場合は、ユーザー名とパスワードが正しいかどうかを確認します。取得するためunique-url-for-user
に使用する予定です$_SERVER['QUERY_STRING']
質問は:
- 悪意のあるユーザーが私の方法を使用して、Web サイトになんらかの損害を与えることはできますか?
- たとえば、悪意のあるユーザーが入力
www.my-domain.com/x
して URL から、すべてのユーザー アカウントをブルート フォースすることはできますか? - $_SERVER['QUERY_STRING'] の代わりに他のものを使用して実際の URL を取得する方法はありますか?
ユーザーが を入力するとwww.my-domain.com/xyz
、私は取得xyz
し、ユーザーは別の URL を私に与えることはできません。