在写网站的时候,有修改资料的功能我把用户ID放在type='hidden'的input里面了

WBOY
풀어 주다: 2016-06-20 12:29:41
원래의
930명이 탐색했습니다.

 在写网站的时候,有修改资料的功能。我把用户ID放在type='hidden'的input里面了?
 这样是不是特别不安全?
如果不放在这里面应该放在哪里,那些大网站在做修改或删除的时候哪些where条件都放在哪里了?


回复讨论(解决方案)

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗?

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗?


??放在url中???好吧。

放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?

放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?


恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。

你放在 type='hidden' 中是修改不了的
如果一定要在调试工具里修改,那就不是好人了

如果说要防止,那就只有: 拔掉网线


放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?


恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
换成别人的ID之后怎么样,修改用户资料吗?
那修改权限,你都不检查吗,不检查是否是修改自己?



放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?


恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
换成别人的ID之后怎么样,修改用户资料吗?
那修改权限,你都不检查吗,不检查是否是修改自己?
怎么判断是否是自己?用session?那是不是就用hidden的ID就行了,直接用session里面的ID是不是就行了。

对啊,你登陆成功了可以记个ID在session里,然后编辑时检查session 里的ID是否等于url中或者hidden的ID不就可以判断出来是不是自己了。

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!