我目前正在编写一个也可以通过互联网访问的内联网。使用jQuery我管理当用户在登录屏幕中输入他的电子邮件时,jQuery请求一个PHP页面(例如picture.php?u = username)并显示他的个人资料图片,这样他就可以检查他的。如何防止黑客直接通过所有可能的电子邮件调用我的picture.php
并检查它们是否存在?我应该删除此功能吗?
答案 0 :(得分:0)
当电子邮件不存在时,您可以返回随机用户的图片(在php页面中),以便黑客无法查看具有该电子邮件地址的帐户是否存在。
答案 1 :(得分:0)
当用户登录他/她的帐户时,应用程序应生成随机令牌并将其存储在会话中。每当向用户显示任何表单时,该标记应作为隐藏输入字段出现在页面中。应用程序逻辑必须检查令牌并确保它与会话中存在的令牌匹配。如果未找到匹配项,则表示某人正在尝试从应用程序外部访问该URL,您只需退出该脚本即可。