这样是不是特别不安全如果不放在这里面应该放在哪里,哪些大网站在做/本2文来源[email protected]搞@^&代*@码2网搞gaodaima代码修改或删除的时候哪些where条件都放在哪里了?
回复内容:
那你后面修改数据时是不是依赖用户这次提交的这个 id?如果我作为用户随便填一个别人的 id 提交,那他的资料是不是被我改掉了?敏感数据用 session 机制会更好一点,用户端只存一个 session id 。我一般都是靠cookie辨认用户。。。根本不用传。
如果你系统当前用户是谁都不知道,系统怎么调出原来的资料放到表单中供用户修改的?这不是 id 放哪里的问题,而是后端权限处理的问题,如果后端权限处理得当,即便前端如何伪造请求也没有问题。像这种用session 非要隐藏,那就再再写一个,两者建立一个算法关系,服务器端把算法关系做比较,然后通过在做处理,但是也是不安全的,算法过于简单,很容易被攻破,总之,不要相信客户端的一切数据源 你们怎么看永远不要相信客户端的输入……1. 你打算修改当前登录用户的资料,那么用户id不需要传递,一般考虑从session中获取,登录的时候将id保存到session,编辑的时候从session读取。
2. 当前用户是管理员?管理员修改其他用户的资料?这样的话,通过hidden input传递过来的ID,需要在后端进行权限判断,判断当前用户是否有权限修改传递过来的用户id。可以用hashids
搞代码网(gaodaima.com)提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected],我们会在看到邮件的第一时间内为您处理,或直接联系QQ:872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:在修改资料的模块中把用户 ID 放在 type="hidden" 的 input 里面是否不安全?
转载请注明原文链接:在修改资料的模块中把用户 ID 放在 type="hidden" 的 input 里面是否不安全?
