请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

修改密码的漏洞

把用户名作为隐藏域,如果知道了别人的账号,并且在调试模式下把用户名改成了其他人的账户,岂不是把别人的密码给改了,那就可以随便登录别人的账户了。感觉应该把token放到session中,在重置的时候不提交账号,通过判断session决定是否合法,而且还能在重置后删除session,防止再次使用。
qq_老帅_04419847 2018-06-05 00:13:46
源自:5-5  后台登录找回密码(下)
436
收起

正在回答 回答被采纳积分+3

1回答

Jason 2018-06-10 18:50:51

是这样,修改密码的前提本身就是要知道该用户名的原密码,否则无法修改,因此我们在修改密码之前,需要先查询原密码是否正确。

0 回复 有任何疑惑可以回复我~
收起回答
取消 回复

相似问题

老师,你有一个任意别人!!!!
933 0 3
为登入状态下,为什么需要token,我感觉可有可无啊
1332 1 5
成功后后天不自动登出
956 0 5
MYSQL root出错
1067 0 5
分类和危险性评估
239 0 1

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
Yii2.0开发一个仿京东商城平台
  • 参与学习       1543    人
  • 解答问题       656    个

【毕设】购物、下单、支付、收货...各功能模块开发,打造京东式电商平台

了解课程

本课精华内容

问答

求助:使用七牛上传出现问题

2.0k 13

关于注册邮箱发邮件的问题

1.1k 12

html前端代码在哪里下载?

1.0k 10

老师 引入文件后进行实例化后,为什么需要在AlipayPay类前面加上\ ,不加\提示没有找到该类 这个\有什么作用 麻烦老师具体说下

721 10

老师我在导入支付的AlipayPay时候 出现Class 'AlipayPay' not found

5.0k 9

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信