引用 4 楼 bbjbepzz 的回复:如果数据没有权限问题的话,随便他怎么改了,有权限的话,在查询数据前,先判断下用户有没有权限访问,然后再处理。以前玩过一个网页游戏,可以用金币买礼包,他的购买按钮就是Onlick里面传礼包的ID 然后我很邪恶的改了礼包的ID,用10金币买了标价为100金币的礼包,像这种情况,用户是有权限购买任何礼包的,那我怎么来判断用户是非法操作呢 ……
如果数据没有权限问题的话,随便他怎么改了,有权限的话,在查询数据前,先判断下用户有没有权限访问,然后再处理。
有些插件确实有这样的功能,可以修改提交的数据,所以,任何客户端的数据都是不可信的。如果有一些id不能查看,你在后台取得这些id值的时候,需要进行验证当前用户是否对这个id值有操作权限。当然,如果这样考虑的话,是比较复杂的。客户端是没有办法阻止的, 另外一个方法是对id值进行加密处理,让客户端不能猜出传递的内容。
87,922
社区成员
224,618
社区内容
加载中
试试用AI创作助手写篇文章吧