我有一个应用程序,用户通过用户名和密码创建帐户。但是,我也希望用户能够通过他们的手机#添加朋友。如果我的设计如下,是否有必要验证其编号的安全原因:
用户A将她的#输入app,保存到数据库
用户B为其联系人提供应用访问权限。用户A是用户B的地址簿中的联系人。当查询用户B联系人簿中所有#的数据库时,我们发现用户A的#和用户A被返回。
如果用户A输入错误#?
,怎么会出现安全漏洞?答案 0 :(得分:1)
这肯定会导致安全问题。当然,对于这样的应用程序,您需要一些方法来验证您收到的数据。如果联系人电话号码错误怎么办?有些电话号码现在一直在变化,很难与它们保持同步。
但更重要的是,我不认为这个会与苹果公司一起飞行。我从未设计过一次需要访问多个联系人的应用程序,并且用户完全了解他/她正在将哪个联系人导入数据库。但是,对于从用户地址簿自动上传多个联系人以便存储在远程数据库上的应用程序,可能会在审阅过程中引发Apple的安全标记。因此,该应用程序可能永远不会在Apple Store上看到光明。
如果您真的想要实现类似的功能,请确保用户在使用前验证其电话号码,而不是将用户联系人存储在服务器上,只需存储已验证的电话号码即可。然后,您可以使用手机中的联系人检查已经过其他用户验证的手机号码以及哪些手机号码与其相关联。