我需要单独管理用户文件夹,这是我的数据库结构:
用户 {user_id,用户名,密码,令牌}
user_folders {user_folder_id,user_id,folder_name}
我使用文件管理器可以设置主目录,但我不想使用login来显示文件夹,因为文件管理器是另一个用户已经<的其他网站内的iframe / em>登录后,我想通过get方法为每个用户传入一个标识( token ),然后文件管理器就会拉出用户的文件..
ps:每次都会生成一个新的随机令牌。
我的问题是:可以存在哪些类型的安全漏洞?传递令牌以进行身份验证和显示文件夹是否安全?
答案 0 :(得分:1)
在安全方面,“滚动自己”是一个坏主意。你试图解决的问题以前已经解决了,好的工具是hash_hmac内置到php中。
您的安全漏洞正在试图“推动自己的”