Php 使用Magento的URL参数和安全性_Php_Security_Magento_Url_Params

Php 使用Magento的URL参数和安全性

php security magento url

Php 使用Magento的URL参数和安全性,php,security,magento,url,params,Php,Security,Magento,Url,Params,我想知道，拥有一个接受参数的URL（指向php文件），并且使用这些参数可以更新magento数据库和/或其他命令中的集合项，这是多么安全我认为对PHP GET和Magento来说，使用这种方法都不是一个好的实践例如更新参数（更新产品）创建、删除（通过type=delete设置）也是如此显然，没有https上的URl是第一个问题，但是如果我添加了额外的参数，这些参数必须与&exist admin config设置相匹配，才能正确执行代码（如果没有重定向或显示错误等）。差不多 admin_

我想知道，拥有一个接受参数的URL（指向php文件），并且使用这些参数可以更新magento数据库和/或其他命令中的集合项，这是多么安全

我认为对PHP GET和Magento来说，使用这种方法都不是一个好的实践

例如

更新参数（更新产品）

创建、删除（通过type=delete设置）也是如此

显然，没有https上的URl是第一个问题，但是如果我添加了额外的参数，这些参数必须与&exist admin config设置相匹配，才能正确执行代码（如果没有重定向或显示错误等）。差不多

admin_user=myadminname&admin_api_key=34654905098Huygvwef8738788fsdfj

代码是

if(admin_name == admin_name_setting) {
if(admin_api_key == admin_api_key_setting) {

//Both Things match, so do some commands etc

}else{

 //Key dont match so kick user

}

}else{

 //Dont match so kick user & log

}

我知道Magento有各种类型的API（除非自定义API编码，否则仅限于默认的Magento数据库操作），但我的问题是，使用这种函数的逻辑性和安全性如何，或者这是一个很大的“禁忌”，因为它很容易被破解，并且可以直接访问数据库操作

请记住，我会有一个自定义的管理员设置来创建/更新主URL的重写

如果试图使用不正确的参数（和正确的参数）访问url，也要通过IP向自动kick/ban用户记录

if(admin_name == admin_name_setting) {
if(admin_api_key == admin_api_key_setting) {

//Both Things match, so do some commands etc

}else{

 //Key dont match so kick user

}

}else{

 //Dont match so kick user & log

}