我知道安全问题不安全且容易猜到但是如果在回答安全问题后我们只是发送安全准备的链接来恢复/重置密码到他们的电子邮件?这会再次成为一个问题吗?
我也在我的代码中使用PDO,所以不用担心SQL注入。
答案 0 :(得分:1)
我是安全问题的强烈反对者:他们给出false sense of security。
虽然应用程序安全性的权威来源是OWASP,而Forgot Password Cheat Sheet涵盖了如何处理遗忘密码,但没有任何附加值可以弥补这种错误的安全感。
如果您确实需要使用它们,请遵循备忘单中的指导原则。
如果您担心用户被请求发送垃圾邮件,您可以添加速率限制或验证码。