Actualmente estoy trabajando en una funcionalidad que permitirá a los usuarios restablecer sus contraseñas. Mi pregunta se refiere a la seguridad de colocar las ID de usuario (a.k.a las ID de incremento automático de la base de datos) en la URL, de modo que durante el proceso de restablecimiento de contraseña puedo usar esa ID para buscar sus preguntas secretas, su token y restablecer sus PW.
Soy consciente de la validación de la cadena de URL, ya que solo se permiten estos caracteres en la barra de URL:
'a-z 0-9_-'
también soy consciente de la codificación y el escape, ya que cuando pregunto en la base de datos y adjunto el ID de los usuarios lo ejecuto a través de urlencode y cuando lo puse en la consulta ejecuto urldecode para volver a su valor más natural (el valor de db ) que primero consulté antes de agregarle la URL.
¿Me estoy perdiendo algo? Supongo que uno de mis temores es lo que sucede si alguien ingresa la ID de otro usuario por intentar, posiblemente, DOS a otro usuario. Teniendo en cuenta que solo agrego el ID de usuario después de que el usuario haya hecho clic en el enlace de verificación de correo electrónico. ¿Estoy haciendo esto correctamente?
Cualquier aclaración sería muy agradable. Gracias de antemano.