没有代码问题,而是应用程序设计问题。如果用户尝试登录Web应用程序并提供未知用户名(或电子邮件),则通常会报告“未知用户名/密码组合”或其他内容。 I.E.用户是否知道他们的名字或密码错误是不明确的。
对于“忘记密码”页面,通常会看到用户可以用来重置密码的电子邮件地址请求。如果用户再次键入未知的电子邮件地址,最好是显示成功页面,可能会使用户感到困惑,或显示错误页面,这可能会泄露用户已注册该应用程序的事实。如果我显示错误消息,感觉就像隐私问题,但是非常小。
当我忘记我最近重置了我的数据库时,我个人刚刚在我的开发服务器上受此影响。我无法弄清楚为什么我的重置密码电子邮件没有通过。直到我最终在我的用户桌上做了select *,我才意识到我在技术上甚至没有注册。