如何防止button里的onclick事件传递参数被别人用火狐浏览器修改提交？

synized 2013-04-17 01:44:45

数据被foreach循环显示到页面上，比如每条数据都有一个查看功能，查看是个超链接，里面有id，别人可以通过火狐改id来查看其他的项目，怎么样才能阻止这种事情发生？请不要纠结于查看，也可能是其他的主要操作

...全文

168 8 打赏收藏转发到动态举报

写回复

用AI写文章

8 条回复

切换为时间正序

请发表友善的回复…

发表回复

孟子E章 2013-04-17

打赏
举报

如果是重要的数据，服务器端应该进行验证的，是Onlick里面传礼包的ID 然后我很邪恶的改了礼包的ID？像这种情况，你就应该验证礼包的ID需要的金币是否与输入的金币数量一致。

沪php攻城师 2013-04-17

打赏
举报

引用 5 楼 synized 的回复:

引用 4 楼 bbjbepzz 的回复:如果数据没有权限问题的话，随便他怎么改了，有权限的话，在查询数据前，先判断下用户有没有权限访问，然后再处理。以前玩过一个网页游戏，可以用金币买礼包，他的购买按钮就是Onlick里面传礼包的ID 然后我很邪恶的改了礼包的ID，用10金币买了标价为100金币的礼包，像这种情况，用户是有权限购买任何礼包的，那我怎么来判断用户是非法操作呢 ……

这个只能说你的处理逻辑和流程错误了，这种购买操作，都是在服务器端进行检测和判断的，他如果传过来100金币的ID，那么就必须付100金币的钱才能购买。

bbjbepzz 2013-04-17

打赏
举报

根据礼包ID查找这个礼包要多少金币，然后再比较一下用户给的金币和礼包的金币

synized 2013-04-17

打赏
举报

引用 4 楼 bbjbepzz 的回复:

如果数据没有权限问题的话，随便他怎么改了，有权限的话，在查询数据前，先判断下用户有没有权限访问，然后再处理。

以前玩过一个网页游戏，可以用金币买礼包，他的购买按钮就是Onlick里面传礼包的ID 然后我很邪恶的改了礼包的ID，用10金币买了标价为100金币的礼包，像这种情况，用户是有权限购买任何礼包的，那我怎么来判断用户是非法操作呢

bbjbepzz 2013-04-17

打赏
举报

如果数据没有权限问题的话，随便他怎么改了，有权限的话，在查询数据前，先判断下用户有没有权限访问，然后再处理。

KK3K2005 2013-04-17

打赏
举报

你的每个访问源要有一个标示也就是身份每种身份有自己可以的访问的资源

synized 2013-04-17

打赏
举报

引用 1 楼 net_lover 的回复:

有些插件确实有这样的功能，可以修改提交的数据，所以，任何客户端的数据都是不可信的。如果有一些id不能查看，你在后台取得这些id值的时候，需要进行验证当前用户是否对这个id值有操作权限。当然，如果这样考虑的话，是比较复杂的。客户端是没有办法阻止的，另外一个方法是对id值进行加密处理，让客户端不能猜出传递的内容。

版主等级太闪了亮瞎了，版主有木有遇到过这种修改参数情况，是怎么处理的？还是不处理就放哪。

孟子E章 2013-04-17

打赏
举报

有些插件确实有这样的功能，可以修改提交的数据，所以，任何客户端的数据都是不可信的。如果有一些id不能查看，你在后台取得这些id值的时候，需要进行验证当前用户是否对这个id值有操作权限。当然，如果这样考虑的话，是比较复杂的。客户端是没有办法阻止的，另外一个方法是对id值进行加密处理，让客户端不能猜出传递的内容。