如何保护具有userID的URL

时间:2016-05-03 12:52:12

标签: php web-services api url encryption

我正在连接到网络服务以获取用户信息,然后生成带有ID的网址,并将该网址发送给用户,以检查他们的信息是否是最新的,如果他们无法编辑和提交。我想使用PHP来调用URL中的userID来进行哈希或加密。 这是一个网址示例http://secure.gethope.net/F3/Basic-low-bar.php?id=123

1 个答案:

答案 0 :(得分:2)

  1. 在整个网站上使用HTTPS。它是免费的。这不再是可以谈判的;您必须拥有HTTPS才能安全。
  2. Do NOT encrypt/hash URL parameters。这将引导您走上正确的道路,我将编写自己的加密技术,"除非你恰好是一名加密工程师,并且至少有一位独立的加密工程师对你的设计进行了审核,否则最终会带来灾难性的后果。
    • 使用CSPRNG生成您在SELECT查询中使用的随机令牌,而不是主键。
  3. 这实际上并不是一个编程问题。
相关问题
最新问题