问题描述
最近发现我的网站在验证邮件上有bug,但是一直找不到原因:用户评论时,留下昵称和邮箱,如果该数据在数据库里对应的验证标记为false或者不存在同样的数据,那么就会发送一封带有邮箱地址和昵称的链接(类似mail.aspx?user=D56DFEW45DE&email=DWQE32E32DE),点击会链接到处理页面mail.aspx,在数据库中能找到对应值就将验证标记改为true。前台页面评论只显示验证标记为true的评论。======================================================为什么现在有访客的邮箱未收到验证邮件,却能通过验证呢?(验证标记已经为true)
解决方案
解决方案二:
mail.aspx?user=D56DFEW45DE&email=DWQE32E32DE你这个url这么大的明文方式,别人要攻击太容易了
解决方案三:
你将userName、email、发送日期合并成一个字符串进行加密然后作为QueryString传递,增加破解难度
解决方案四:
估计被攻击了吧
解决方案五:
谁吃饱了没事才会攻击楼主
解决方案六:
引用2楼starfd的回复:
你将userName、email、发送日期合并成一个字符串进行加密然后作为QueryString传递,增加破解难度
正解,千万不要相信客户和客户端,否则你会死的很惨
时间: 2024-08-29 13:16:05