Atitit 修改密码的功能流程设计 attilax总结
1.1. 注意点
Req参数需要根据数据库转义,防止sql注入
要输入原密码验证,防止CSRF注入
会话管理防止uid篡改。。建议uid存放在cookie并且aes加密
后台获取uid cookie使用tokenService方式注入。可以灵活支持session,cookie等模式。
在修改密码的过程中,毫不夸张地说,有超过1成的产品找回密码流程存在「越权修改密码」的逻辑漏洞。
Atitit 修改密码的功能流程设计 attilax总结
Req参数需要根据数据库转义,防止sql注入
要输入原密码验证,防止CSRF注入
会话管理防止uid篡改。。建议uid存放在cookie并且aes加密
后台获取uid cookie使用tokenService方式注入。可以灵活支持session,cookie等模式。
在修改密码的过程中,毫不夸张地说,有超过1成的产品找回密码流程存在「越权修改密码」的逻辑漏洞。