JSP如何对GET和POST分别取值?
例如:
<form action="?UserID=1" method="POST">
权限设置:
<select name="Rule">
<option value="1">管理员</option>
<option value="2" selected="selected">普通用户</option>
</select>
<input type="submit" value="修改" />
</form>
ASP可以通过Request.Form("Rule")来限制仅取Form中值,这样就不会造成安全问题。但是jsp的request.getParameter("Rule")是不区分GET和POST的,这就造成了一个很大的安全问题了:只要访问.....jsp?UserID=1&Rule=1这样的网址,就能直接将用户设置为管理员。
假设我是管理员,从后台进入论坛,遇到一张图片,地址为.......jsp?UserID=10&Rule=1,那UserID为10的用户岂不会直接被设置成管理员了吗?
难道JSP会这么不安全?有没有GET和 POST安全取值的方法?