我正在撰写分类广告网站,我需要用户续订广告,只需点击我将通过电子邮件发送的网址。我应该注意实施这样的系统吗?我在网上搜索过,但没有找到像这样的实现的例子。
有人可以提供一些关于正确道路的线索吗?
最诚挚的问候,
答案 0 :(得分:2)
首先,SQL Injection将是一个需要担心的主要问题,尤其是在使用明显的get参数时。
其次,您需要GET参数中的非个人识别信息。您将不想要129256这样的短ID,因为这些非常容易猜到。一个GUID(例如412dc535-03dd-4887-b702-02c8b85e8891,你会删除 - 当然)非常适合这个。
第三,您需要某种基本验证,事实上它是发起请求的用户。让每封电子邮件都有自己的ID用于单击操作,可能是GUID(长串随机字符),并使它们在一段时间(几天)后过期。分别跟踪每个电子邮件链接以及他们应该做什么,以便有人不能仅仅找出某人广告的ID并继续一遍又一遍地运行。
〜基督教