62,244
社区成员
发帖
与我相关
我的任务
分享网站传id加密问题
比如,我要编辑一条数据,而编辑这个a链接是含有具体id值的,如
www.baidu.com/type.aspx?id=67
别人复制这个链接,改成66,可能就能编辑别人的,所以这里需要加密,大家都用什么算法加密的?。net下还有其他方式解决方法吗?
www.baidu.com/type.aspx?id=67
别人复制这个链接,改成66,可能就能编辑别人的,所以这里需要加密,大家都用什么算法加密的?。net下还有其他方式解决方法吗?
...全文
请发表友善的回复…
发表回复
yancongmin 2014-04-30
- 打赏
- 举报
我一直用的有两种方法:
1,判断用户,如果这个ID是他的,则运行,如果不是,抛出异常。(人才网简历库查询,就用的这个)
2,就用guid,不过这东西费性能。
一片冰心在玉壶 2014-04-29
- 打赏
- 举报
这个加密不加密有毛线的关系。。。权限都不判断
bcc222 2014-04-29
- 打赏
- 举报
你不判定用户,再怎么加密也白搭,完全可以用遍历来攻击你的网站!
祥子爱游戏 2014-04-29
- 打赏
- 举报
我觉得身份验证好一点
祥子爱游戏 2014-04-29
- 打赏
- 举报
不过现在MD5也已经被攻破了,如果对比参数,还是能破解的[/quote]
真的假的
jimil 2014-04-29
- 打赏
- 举报
首先,你得判断你在做什么,如果是一个简单的新闻,完全没有加密的必要,做好防注入就可以了,不然不仅是多此一举,还会影响到SEO,如果是同单一客户端有关的,那方法有很多,上面的朋友都有举例,但必须注意一点,权限上必须做出判断,单一用户有没有打开的权限,单一用户可不可以打开的权限等等。。。。。
徒步-天下 2014-04-25
- 打赏
- 举报
这本身就是个错误的开始,应该先判断是否是当前用户!!!
墙角的灰 2014-04-24
- 打赏
- 举报
用guid,然后程序再判断当前用户id
showjim 2014-04-24
- 打赏
- 举报
id转换(加密)仅仅是为了防止遍历,编辑怎么能没有权限呢?
闲游四疯 2014-04-24
- 打赏
- 举报
这问题从解决思路就错了 你不应该是加密ID防篡改 你应该是进页面 判断当前ID信息是不是属于当前用户的
用户登录不都有记录登录状态 去数据库查询的时候 where id=@id and userid=@userid 就不会了
kongwu525 2014-04-24
- 打赏
- 举报
如果你的这个页面对安全性要求很高就让用户必须登录,如果要求一般,即使有能力破解MD5的并且有访问这些页面打算的人估计也是非常少
IE11下面经常卡到爆 2014-04-24
- 打赏
- 举报
加密有时是必须的
但是你就不能学习一下数据库知识?不知道有个东西叫外键约束?
66对应的userId就不是你了,自然要报个错给你
宇哥_ 2014-04-24
- 打赏
- 举报
cookie,session
初心不变时过迁 2014-04-24
- 打赏
- 举报
好多法子。。
from
楼上说的seesion
你说MD5被攻破? 那好 我把自己写个判别的方法 比如截取生成MD5随便哪几位字符 这样能破? 就算能 也没有人会花这么多心思去整吧。。
shaxuli 2014-04-24
- 打赏
- 举报
大家还有别的方法么,你们都怎么做的?
feiyun0112 2014-04-24
- 打赏
- 举报
www.baidu.com/type.aspx?id=guid
shaxuli 2014-04-24
- 打赏
- 举报
不明白,求详细guid用在哪
feiyun0112 2014-04-24
- 打赏
- 举报
用guid,然后程序再判断当前用户id
shaxuli 2014-04-24
- 打赏
- 举报
前台用repeater绑定的
<a href='aaa.aspx?id=<%#Eval("Id") %>'>编辑</a>
以专业开发人员为伍 2014-04-24
- 打赏
- 举报
呵呵,跟你“悄悄”说一下,不管怎么扯“加密id”的xxoo!@##$$%%!@@$,你就原样将显示的内容复制去试试就行了。
加载更多回复(19)
