我正在查看Firefox的livehttpheaders插件,并决定测试我的登录页面.我注意到它里面显示的参数包含我的登录名和密码.例如:
username=sarmenhb&password=thepassword&submit=Login
用简单的英语.
我没有在其他网站上看到这个.
我能做错什么?我认为这是一个安全漏洞.登录页面,只需验证并登录用户即可.所有字段都经过mysql_real_escape_string(如果相关).
信息必须从客户端到达服务器的方式.如果您担心安全性,请使用SSL.
即使您在Javascript中执行MD5哈希,这也无济于事,因为将哈希值提交到登录页面是微不足道的,并且哈希有效地成为密码.所有内容都是纯文本,直到它们或传输加密为止.POST变量,使用SSL.
从下面的评论中添加.您可能看不到其他站点的标头,因为它们可能使用AJAX,POST方法或其他客户端机制进行身份验证.