Attualmente sto lavorando su funzionalità che consentiranno agli utenti di reimpostare le proprie password. La mia domanda riguarda la sicurezza nel mettere gli ID utente (a.k.a l'ID di incremento automatico dal database) nell'URL, quindi durante il processo di reimpostazione della password posso usare quell'ID per recuperare le loro domande segrete, il loro token e per resettare i loro PW.
Sono a conoscenza della convalida della stringa URL in quanto solo questi caratteri sono consentiti nella barra degli URL:
'a-z 0-9_-'
anche io sono a conoscenza della codifica e dell'escaping come quando interrogo il DB e aggiungo l'ID utente. Lo eseguo tramite urlencode e quando lo inserisco nella query eseguo urldecode per riportarlo al suo valore più naturale (il valore db ) che ho prima interrogato prima di aggiungerlo all'URL.
Mi manca qualcosa? Immagino che una delle mie paure sia cosa succede se qualcuno inserisce un altro ID utente per aver tentato di DOS di un altro utente? Tenendo presente, appendo l'ID utente solo dopo che l'utente ha fatto clic sul link di verifica della posta elettronica. Sto andando su questo correttamente?
Qualsiasi chiarimento sarebbe molto bello. Grazie in anticipo.