21,886
社区成员
发帖
与我相关
我的任务
分享在写网站的时候,有修改资料的功能我把用户ID放在type='hidden'的input里面了
在写网站的时候,有修改资料的功能。我把用户ID放在type='hidden'的input里面了?
这样是不是特别不安全?
如果不放在这里面应该放在哪里,那些大网站在做修改或删除的时候哪些where条件都放在哪里了?
这样是不是特别不安全?
如果不放在这里面应该放在哪里,那些大网站在做修改或删除的时候哪些where条件都放在哪里了?
...全文
请发表友善的回复…
发表回复
m_k_h 2017-04-28
- 打赏
- 举报
我也在想这个问题,曾经我也试过用F12修改页面参数“作弊”(因为那个系统实在是做得太烂了)。
言归正传,举个例子,
一、修改个人信息,
这种问题最简单,隐藏ID都省了
二、修改用户信息
假如我登陆的用户可以修改系统中所有用户的信息,这种情况ID直接显示在页面都行,就算我通过F12修改了ID,然后提交把另外的一个人的信息改了,那又何必呢?因为我有修改权限,干嘛要多此一举呢
假如我只能修改部分用户的信息,比如只能修改我所在部门的用户的信息,假如我通过F12 修改了用户的ID(改为其他部门的用户ID),然后提交到服务器,这种情况如果权限没有设置好或者没有做好验证的话,就会有风险了
所以还是要看权限配置和系统的验证,具体问题具体分析,我们要做到是就算被人篡改了ID也不要让他阴谋得逞。
一起混吧 2016-05-06
- 打赏
- 举报
对啊,你登陆成功了可以记个ID在session里,然后编辑时检查session 里的ID是否等于url中或者hidden的ID不就可以判断出来是不是自己了。
qq_34086047 2016-05-06
- 打赏
- 举报
恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。[/quote]
换成别人的ID之后怎么样,修改用户资料吗?
那修改权限,你都不检查吗,不检查是否是修改自己?[/quote]
怎么判断是否是自己?用session?那是不是就用hidden的ID就行了,直接用session里面的ID是不是就行了。
一起混吧 2016-05-05
- 打赏
- 举报
恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。[/quote]
换成别人的ID之后怎么样,修改用户资料吗?
那修改权限,你都不检查吗,不检查是否是修改自己?
qq_34086047 2016-05-05
- 打赏
- 举报
恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
xuzuning 2016-05-05
- 打赏
- 举报
你放在 type='hidden' 中是修改不了的
如果一定要在调试工具里修改,那就不是好人了
如果说要防止,那就只有:拔掉网线
一起混吧 2016-05-05
- 打赏
- 举报
放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?
关键看你的input ID主要是从哪里来的,要用来干什么?
qq_34086047 2016-05-05
- 打赏
- 举报
??放在url中???好吧。
xuzuning 2016-05-05
- 打赏
- 举报
这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗?
