目标:恢复或重置密码
反模式:使用明文存储密码
1、存储密码
如果攻击者截取到你用来插入密码的sql语句,就可以获得密码
2、验证密码
与上面相同。
3、在email中发送密码
email可能会被黑客劫持、记录。
解决方案:
先加密再存储
重置密码而不是恢复密码
浙公网安备 33010602011771号