我有一个网站,目前的作品。它有一个显示信息的页面,另一个允许您编辑信息源。现在,当你在index.php上登录时,它通过表单将数据发布到view.php。该网站不使用任何cookie。当我点击编辑时,它会将用户名,密码和提交请求发布到edit.php。目前,这个按钮效果很好,但对于编辑按钮当前代码如下:如何解决这个安全漏洞?
<FORM NAME ="form1" METHOD ="post" ACTION = "edit.php">
<p class="BodyText">
<INPUT TYPE = "Hidden" Name = "Username" Value = "<?php print($username); ?>">
<INPUT TYPE = "Hidden" Name = "PassHash" Value = "<?php print($password); ?>">
<INPUT TYPE = "Submit" Name = "Change" VALUE = "Edit">
</p>
</FORM>
我以前没有注意到,但现在我发现,我期待通过代码,它打印的密码。我真的不知道如何在没有这个的情况下将密码提交到编辑页面,但是当我检查Chrome中的元素时,我可以看到密码哈希(SHA-1)。首先,我想是的,这是一个安全漏洞吗?其次,如何将passhash传递给edit.php页面而不将散列发送回最终用户。第三,我是否完全犯了这个错误?对我来说,通过信息登录似乎没问题,但安全性是否疯狂?我在PHP方面有点新,而且完全是安全的。
反正密码在第一个登录页面上传输。你在这里要做的是尽量减少传输到一个页面。就是这样。安全方面,index.php脚本是主要的障碍。为所有页面启用SSL,而不是关注第二个或第三个POST请求。 – mario
CP ** Cookie **人应该使用cookie(或会话) – 2012-08-30 20:15:33