在网站上创建公共资料页面的行业标准是什么?我看到许多答案提出$ _GET调用,其中用户的唯一ID放在url中。这不是一种安全漏洞形式,您将公开您的安全数据库唯一ID吗?
当然我正在使用带绑定的PDO等,但为什么我要公开展示db的这一部分呢?
旁白:话虽如此,给定一个带用户名的网址,是否标准做法是使用modrewrite重定向到脚本以从用户名中找到id,从而查找所有用户信息?
提前致谢!
答案 0 :(得分:0)
您的用户名很可能也是唯一的。当你说"安全数据库"时,你指的是什么类型的数据库。实际上,任何具有用户配置文件功能的页面(StackExchange,Popular Social Networks等)都会在配置文件URL中公开用户ID。只需将鼠标悬停在此页面上的自己名称上即可查看您的ID。
您给了自己正确的答案:您的个人资料页面公开,因此公开其他个人资料页面没有风险(例如通过递增用户ID)
有这么多专业人士参与,如果这是一个坏主意,StackExchange已经解决了这个问题。