Ruby on rails 在注册表中填充电子邮件时是否存在漏洞?
我的应用允许用户通过电子邮件邀请他们认识的人。如果被邀请者尚未注册,我们会发送电子邮件要求被邀请者注册 我想能够发送独特的注册链接,其中包含电子邮件GET-param,并在应用程序端使用此GET-param填充注册表的电子邮件字段 这样做是否会引入任何额外的安全漏洞 一个例子 电子邮件URL:Ruby on rails 在注册表中填充电子邮件时是否存在漏洞?,ruby-on-rails,security,Ruby On Rails,Security,我的应用允许用户通过电子邮件邀请他们认识的人。如果被邀请者尚未注册,我们会发送电子邮件要求被邀请者注册 我想能够发送独特的注册链接,其中包含电子邮件GET-param,并在应用程序端使用此GET-param填充注册表的电子邮件字段 这样做是否会引入任何额外的安全漏洞 一个例子 电子邮件URL: 然后,应用程序将使用params[:email]从URL检索电子邮件,并将其设置为注册表的电子邮件字段。您可能会泄漏一些数据。如果你按顺序编号,我得到了999号,我会知道试试999号和更低的号码,我就能得
然后,应用程序将使用params[:email]从URL检索电子邮件,并将其设置为注册表的电子邮件字段。您可能会泄漏一些数据。如果你按顺序编号,我得到了999号,我会知道试试999号和更低的号码,我就能得到电子邮件地址 以下是关于如何生成随机、唯一参数的一些想法:
您需要输入电子邮件地址,而不是ID。否;只要您将该字符串视为不受信任的数据并对其进行适当处理,就不会引入任何漏洞。哪些数据被泄漏?我不明白为什么这个问题会涉及序列号。这只会引入接受用户提供的任何其他类型的get参数。这取决于你如何处理,它可能非常危险。