Php 使用Magento的URL参数和安全性
我想知道,拥有一个接受参数的URL(指向php文件),并且使用这些参数可以更新magento数据库和/或其他命令中的集合项,这是多么安全 我认为对PHP GET和Magento来说,使用这种方法都不是一个好的实践 例如 更新参数(更新产品) 创建、删除(通过type=delete设置)也是如此 显然,没有https上的URl是第一个问题,但是如果我添加了额外的参数,这些参数必须与&exist admin config设置相匹配,才能正确执行代码(如果没有重定向或显示错误等)。差不多Php 使用Magento的URL参数和安全性,php,security,magento,url,params,Php,Security,Magento,Url,Params,我想知道,拥有一个接受参数的URL(指向php文件),并且使用这些参数可以更新magento数据库和/或其他命令中的集合项,这是多么安全 我认为对PHP GET和Magento来说,使用这种方法都不是一个好的实践 例如 更新参数(更新产品) 创建、删除(通过type=delete设置)也是如此 显然,没有https上的URl是第一个问题,但是如果我添加了额外的参数,这些参数必须与&exist admin config设置相匹配,才能正确执行代码(如果没有重定向或显示错误等)。差不多 admin_
admin_user=myadminname&admin_api_key=34654905098Huygvwef8738788fsdfj
代码是
if(admin_name == admin_name_setting) {
if(admin_api_key == admin_api_key_setting) {
//Both Things match, so do some commands etc
}else{
//Key dont match so kick user
}
}else{
//Dont match so kick user & log
}
我知道Magento有各种类型的API(除非自定义API编码,否则仅限于默认的Magento数据库操作),但我的问题是,使用这种函数的逻辑性和安全性如何,或者这是一个很大的“禁忌”,因为它很容易被破解,并且可以直接访问数据库操作
请记住,我会有一个自定义的管理员设置来创建/更新主URL的重写
如果试图使用不正确的参数(和正确的参数)访问url,也要通过IP向自动kick/ban用户记录
if(admin_name == admin_name_setting) {
if(admin_api_key == admin_api_key_setting) {
//Both Things match, so do some commands etc
}else{
//Key dont match so kick user
}
}else{
//Dont match so kick user & log
}