Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/ruby-on-rails/64.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Ruby on rails 在注册表中填充电子邮件时是否存在漏洞?_Ruby On Rails_Security - Fatal编程技术网
Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 在注册表中填充电子邮件时是否存在漏洞?

Ruby on rails 在注册表中填充电子邮件时是否存在漏洞?

ruby-on-rails security

Ruby on rails 在注册表中填充电子邮件时是否存在漏洞?,ruby-on-rails,security,Ruby On Rails,Security,我的应用允许用户通过电子邮件邀请他们认识的人。如果被邀请者尚未注册,我们会发送电子邮件要求被邀请者注册 我想能够发送独特的注册链接,其中包含电子邮件GET-param,并在应用程序端使用此GET-param填充注册表的电子邮件字段 这样做是否会引入任何额外的安全漏洞 一个例子 电子邮件URL: 然后,应用程序将使用params[:email]从URL检索电子邮件,并将其设置为注册表的电子邮件字段。您可能会泄漏一些数据。如果你按顺序编号,我得到了999号,我会知道试试999号和更低的号码,我就能得

我的应用允许用户通过电子邮件邀请他们认识的人。如果被邀请者尚未注册,我们会发送电子邮件要求被邀请者注册

我想能够发送独特的注册链接,其中包含电子邮件GET-param,并在应用程序端使用此GET-param填充注册表的电子邮件字段

这样做是否会引入任何额外的安全漏洞

一个例子

电子邮件URL:

然后,应用程序将使用params[:email]从URL检索电子邮件,并将其设置为注册表的电子邮件字段。

您可能会泄漏一些数据。如果你按顺序编号,我得到了999号,我会知道试试999号和更低的号码,我就能得到电子邮件地址

以下是关于如何生成随机、唯一参数的一些想法:

您需要输入电子邮件地址,而不是ID。

否;只要您将该字符串视为不受信任的数据并对其进行适当处理,就不会引入任何漏洞。

哪些数据被泄漏?我不明白为什么这个问题会涉及序列号。这只会引入接受用户提供的任何其他类型的get参数。这取决于你如何处理,它可能非常危险。