2
我正在开发一个社交网络,我想知道如果在用户的个人资料页面中,我可以将用户标识存储在数据库中作为url中的参数,或者在安全性方面它是一个坏主意吗?将用户标识作为url参数安全吗?
我想让网址成为书签。我应该把另一件事情,而不是用户ID?
A
回答
4
就安全性而言,将用户标识放在网址中没有问题。例如,StackOverflow已经做到了这一点:https://stackoverflow.com/users/3477044/aliuk
重要的是验证当前已通过身份验证的用户是否被允许访问此URL并代表其执行操作。
0
大多数社交网络我一直在使用,使用用户名作为url不id,当然它也影响seo,因为你有“漂亮的网址”。
安全性实际上取决于你如何编写你的代码,比如说有一个页面可以编辑配置文件,如果你把你的代码放在这里: UPDATE .. SET .. WHERE id = $ _GET ['id' ]
毫无疑问,这是危险的,你应该检查每个用户的行动,例如张贴/编辑个人资料等,谁是登录,没有什么是对当前的URL标识
0
如果您保护您的网站针对SQL它是安全的注射。 但是,如果违反事件发生,所有用户都可以使用。只有黑客需要做的事情是找到用户配置文件获取他的ID。复制sql注入的输出。转到文本编辑器。按ctrl - f并搜索用户标识。
+0
但是黑客可以使用其他任何数据而不是用户标识来做同样的事情,不是吗? – Aliuk
+0
你的答案缺乏很多。这个问题不仅仅是SQL注入,还包括直接暴露URL中的任何数据库ID带来的操作安全问题以及不安全的直接对象引用。 –
相关问题
- 1. 网络安全 - url参数安全吗?
- 2. URL安全参数
- 3. 将密码作为脚本参数传递 - 安全吗?
- 4. 使用fflush(stdout)作为fprintf()参数安全吗?
- 5. 安全地将用户标识从ASP.Net传递到Javascript
- 6. 将ConcurrentBag作为通知安全吗?
- 7. 使用.txt文件作为元标记数据库安全吗?
- 8. 作为应用程序池标识的域用户 - 安全漏洞?
- 9. 使用iOS APP的捆绑标识符作为密码安全吗?
- 10. 依靠Facebook用户标识作为永久性用户标识
- 11. 使用`$`作为C/C++中的标识符是否安全?
- 12. 从url中识别Facebook用户标识?
- 13. 将jwt放入url作为GET请求的查询参数是否安全?
- 14. 将db项目的ID作为url参数传递是否安全?
- 15. 挥发性作为参数标识
- 16. 使用用户输入作为key_name安全吗?
- 17. Parse.com:标识用户的默认参数?
- 18. 文档_id是否可安全地用作URL中的参数?
- 19. 正在使用主标识符的唯一标识符更安全吗?
- 20. PHP:使用index.php作为bootstrap安全吗?
- 21. 用URL Replace.string作为参数
- 22. 将数组作为url参数传递
- 23. 将JavaScript标记为安全
- 24. 安全的URL参数验证的ASP
- 25. 带有“安全”参数的url templatetag?
- 26. 安全性:URL中的主键参数
- 27. 为URL安全放置标题别名
- 28. 我可以将字符串标识符作为函数吗?
- 29. 将Task作为方法参数传递是否安全?
- 30. 将LARGE_INTEGER.QuadPart作为size_t的参数传递是否安全?
其他用户也可以查看此网址,但不会在此处进行任何更改。 –