什么是IDOR(不安全的直接对象引用)

IDOR将允许一名授权用户获取其他用户的信息，意指一个已经授权的用户通过更改访问时的一个参数，从而访问到了原本其并没有得到授权的对象。Web应用往往在生成Web页面或服务时会用它的真实名字，且并不会对所有目标对象的请求访问进行用户权限检测，所以这就造成了不安全的对象直接引用的漏洞。换句话说，不安全的直接对象引用漏洞将允许攻击者通过页面或服务向特殊对象资源发送访问请求，如果系统不会对请求发送者的身份权限进行合理认证的话，就说明这个系统中存在不安全的直接对象引用。

对象引用格式

类型 & 引用名=已定义的变量名；

如：int i=5;

int &j=i; 相当对j 初始化

在实际中，使用对象引用作函数参数要比使用对象指针作函数参数更普遍，这是因为使用对象引用作函数参数具有用对象指针作函数参数的优点，而用对象引用作函数参数将更简单，更直接。所以，在C++编程中，人们喜欢用对象引用作函数参数。