社区
Web 开发
帖子详情
【求助】如何防止表单提交后参数被篡改
「已注销」
2016-09-06 03:39:23
问题是这样的
比如我这里提交了一个修改用户的表单,表单里有id,描述等这些信息
但通过拦截请求的工具把id给篡改了 然后你修改的就是另外一个用户的信息了
这个该怎么弄 求大神
...全文
1132
16
打赏
收藏
【求助】如何防止表单提交后参数被篡改
问题是这样的 比如我这里提交了一个修改用户的表单,表单里有id,描述等这些信息 但通过拦截请求的工具把id给篡改了 然后你修改的就是另外一个用户的信息了 这个该怎么弄 求大神
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
16 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
断d了l的d弦x
2018-11-11
打赏
举报
回复
这种安全性问题很常见,第一要密文传输;第二要做有效性校验,只能他自己才可以编辑自己的信息
nyq1999
2018-11-07
打赏
举报
回复
方向错了吧。这个是用户权限没有校验的问题啊。应该先判断这个id的信息是否这个用户有权限修改啊。。
思想问题
2018-11-07
打赏
举报
回复
https 如果这么重要的话
maradona1984
2018-11-05
打赏
举报
回复
直接上https,不纠结,最简单
今逍遥
2018-11-05
打赏
举报
回复
前面几楼都说的挺对的,主要前台拿不到正确的ID,那么你修改请求其他数据是没有用的,如何让前台拿不到正确的ID ,前面几楼的挺对的,没什么毛病
g_sage
2018-11-04
打赏
举报
回复
先看看拦截请求的工具内部有没有提供操作,可不可以解决这个问题;一般建议前端和后台都要进行加密操作;
asweiren
2018-11-02
打赏
举报
回复
采用https就可以解决
雾里看花の
2018-11-02
打赏
举报
回复
一般修改用户信息这种都不在前后端交互id的,而是修改的时候直接取session中的id,这样更安全
北飞的企鹅
2018-10-25
打赏
举报
回复
最简单的就是拿ID去数据库查询啊,这个数据是这个登录用户有权限操作就通过啊,篡改的数据还是要经过你后台校验
Defonds
2018-10-25
打赏
举报
回复
1、发给信任客户公钥,传输后验签;
2、https 双向认证;
3、专线;
4、...
低调的帅
2018-10-25
打赏
举报
回复
把id加密,然后作为隐藏域,下次提交时把加密的id和没加密的id都提交,后台解密比较两个id是否一样,不一样说明被篡改了
天涯若风
2018-10-25
打赏
举报
回复
数字签名+摘要加密; 保证请求过程中数据不会被篡改
fanyuna
2017-04-22
打赏
举报
回复
后台处理请求时,做判断,如果用户ID不存在或不是当前的用户,就不做修改,提示错误!期待大神的回复
z771309516
2016-09-07
打赏
举报
回复
如果有登陆状态,用户信息放session ,从session中拿id
花间_拾零
2016-09-06
打赏
举报
回复
引用 1 楼 u013439865 的回复:
你把你的ID在后台加个密 提交的时候在解密 这样他就改不了了 最多就是报错
看业务吧 为什么要拦截 是不是部分拦截?搞清楚这个就知道是不是扩展或修改拦截器了
java竹雨
2016-09-06
打赏
举报
回复
你把你的ID在后台加个密 提交的时候在解密 这样他就改不了了 最多就是报错
sqlmap注入详解
官网sqlmap是一个开源的渗透测试工具,它可以自动化检测和利用SQL注入漏洞并接管数据库服务器。它有一个强大的检测引擎,许多适合于终极渗透测试的良好特性和众多的操作选项,从数据库指纹、数据获取到访问底层文件系统、执行操作系统命令。
参数
:--eval在有些时候,需要根据某个
参数
的变化,而修改另个一
参数
,才能形成正常的请求,这时可以用--eval
参数
在每次请求时根据所写python代码做完修改后请求。例子:上面的请求就是每次请求时根据id
参数
值,做一次md5后作为hash
参数
的值。
SQL注入式攻击
SQL注入式攻击
求助
编辑百科名片 SQL注入式攻击 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入
参数
,这类表单特别容易受到SQL注入式攻击。 目录 名词解释危害 ...
网络知识面试题
安全性(1)get 请求是不安全的,因为在传输过程,数据被放在请求的 url 中;post 请求的所有操作对用户来说都是不可见的。但是这种说法也不是绝对的,也可以在 get 请求加上 request body,给 post 请求带上 url
参数
。请求长度限制(2)get 请求提交的 url 中的数据最多只能是几千个字节,这个限制是浏览器或者服务器给添加的,http协议并没有对 url 长度进行限制,目的是为了保证服务器和浏览器能够正常运行,
防止
有人恶意发送请求;
【安全架构】
概念 安全是产品的属性,安全的目标是保障产品里信息资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),简记为CIA。 保密性: 保障信息资产不被未授权的用户访问或者泄漏; 完整性:保障信息资产不回被未授权而被
篡改
; 可用性:保障已授权用户合法访问信息资产的权利。 术语 信息安全 广义上的信息安全(Information Security),是基于“安全体系以信息为中心”的立场,泛指整个安全体系,侧重于安全管理。 狭义上的信息安全,在不同组织
网易面试:说说 https 原理?https 如何保证 数据安全 ?
非对称加密算法(Asymmetric Cryptography)又称为公开密钥加密算法,它需要两个密钥,一个称为公开密钥(公钥);另一个称为私有密钥(私钥).公开密钥与私有密钥是一对。如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作:非对称加密算法。公开密钥是 可以公开的,大家都知道都没有问题。非对称加密的典型处理流程,大致如下图所示:图:非对称加密的典型处理流程。
Web 开发
81,122
社区成员
341,744
社区内容
发帖
与我相关
我的任务
Web 开发
Java Web 开发
复制链接
扫一扫
分享
社区描述
Java Web 开发
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章