3
有人可以請解釋爲什麼使用「$ _GET」密碼不好?
我一直在尋找幾天,現在找不到答案。謝謝!
編輯:我聽說它可以被黑客入侵。 。 。這怎麼可能/如何做到這一點?
A
回答
12
- 它使密碼對於肩上的攻擊可見。
- 它使它更可能存儲在日誌文件中。
- 它使它更有可能存儲在緩存中 - 無論是在用戶正在使用的計算機上(可能是公用計算機),也可能是瀏覽器的歷史記錄。
+0
軼事「存儲在日誌文件中「可能是nick.com的服務器狀態頁面處於打開狀態,請參閱http://arstechnica.com/security/2012/11/misconfigured-apache-sites-expose-user-passwords-other-private-data/ – Hawken 2013-04-28 19:42:59
2
$ _GET函數預設爲通過地址欄發送信息。這意味着它可以輕鬆加入書籤,因此可以發送通過它發送的信息。
我建議您使用$ _POST函數,並在文檔本身(例如index.php中)中包含密碼處理.php文件。一旦包括它就看不見了,但它確實是工作。
0
所有$ _GET值在url查詢字符串中都可見,因爲它是通過url發送的。昆汀清除了其他點。 所以不要將它用於密碼或敏感數據字段。
相關問題
- 1. 爲什麼不允許密碼驗證?
- 2. 什麼是'不可驗證的代碼',爲什麼它不好?
- 3. 爲什麼不應該使用密碼作爲會話密鑰
- 4. 密鑰庫:爲什麼getCertificateChain(..)不需要密碼,而getKey需要密碼?
- 5. 爲什麼密碼鹽被稱爲「鹽」?
- 6. 爲什麼require_once不好用?
- 7. 爲什麼#define不好?
- 8. 爲什麼globals不好?
- 9. 爲什麼KeyValueConfigurationCollection不密封?
- 10. 爲什麼PHP中的_GET錯誤地解碼斜線?
- 11. 爲什麼$ _GET值大於URL
- 12. 哪個代碼更好?爲什麼?
- 13. 爲什麼要防止粘貼密碼?
- 14. ssl_accept「沒有共享密碼」,爲什麼?
- 15. 爲什麼pkzip接受兩個密碼?
- 16. 爲什麼顯示密碼強度密碼不適用於jQuery Form Validator?
- 17. 什麼是用於Perl的最好的密碼加密和解密庫?
- 18. 爲什麼不是不工作密碼這個東西 - 批
- 19. 爲什麼數據爲中心不好?
- 20. 爲什麼Sass好?
- 21. 爲什麼解密的密鑰與加密密鑰不一樣?
- 22. 如果未設置密鑰,$ _GET ['key']會返回什麼?
- 23. 爲什麼'On Error'總是觸發,就好像密鑰爲空?
- 24. 爲什麼我應該使用$ _GET和$ _POST而不是$ _REQUEST?
- 25. 爲什麼PHP不響應我的$ _GET變量?
- 26. 什麼代碼更好
- 27. 什麼是密碼/散列?
- 28. 什麼是rabbitmqctl密碼?
- 29. 爲什麼LuaJIT這麼好?
- 30. 雙向處理密碼的好方法是什麼?
因爲它會被存儲在瀏覽器的歷史記錄中 – PeeHaa 2013-04-28 19:29:42
$ _GET意味着它會像'example.com?username = joe&password = password123'這樣的網址出現,任何人都可以查看網址並看到它 – 1andsock 2013-04-28 19:29:58