ホームページ  >  記事  >  バックエンド開発  >  Web サイトを作成するとき、データを変更できるようにするために、type='hidden' を使用してユーザー ID を入力に入力します。

Web サイトを作成するとき、データを変更できるようにするために、type='hidden' を使用してユーザー ID を入力に入力します。

WBOY
WBOYオリジナル
2016-06-20 12:29:41971ブラウズ

ウェブサイトを作成する際、データを修正する機能があります。 type='hidden' を使用して入力にユーザー ID を入力しましたか?
これは特に危険ではありませんか?
ここに配置しない場合、大きな Web サイトが変更または削除された場合、どこに配置する必要がありますか?


ディスカッションへの返信 (解決策)

セキュリティ上の問題はありません
今でも情報を閲覧する際にURLにIDを入れていませんか?

これはセキュリティ上の問題ではありません
情報を閲覧するときに、URL に ID を入れていませんか?


? ? URLに入れますか? ? ?よし。

URL に入れても大丈夫です。安全かどうかは検証用のサーバーに依存します。
情報を変更できるのはログインしたユーザーだけではないでしょうか?

キーは入力 ID の出所と用途によって異なります。

安全かどうかはサーバーによって異なります。確認用です。
情報を変更できるのはログインしたユーザーだけではないでしょうか?

重要なのは、入力された ID がどこから来たのか、そしてそれが何に使用されるのかということです。


悪意のあるユーザーがあなたの ID を別の ID に変更しましたか?確認方法は?
同様の関数を書く際にidやcodeなどの条件をどこに置くかについて相談したいと思います。

type='hidden' にすると変更できません
デバッグツールで変更する必要がある場合は、あなたは良い人ではありません

必要に応じてそれを防ぐには、唯一の方法は次のとおりです: ネットワークケーブルを抜きます


それが安全かどうかは、URL に入れても大丈夫です。検証用のサーバー。
情報を変更できるのはログインしたユーザーだけではないでしょうか?

重要なのは、入力された ID がどこから来たのか、そしてそれが何に使用されるのかということです。


悪意のあるユーザーがあなたの ID を別の ID に変更しましたか?確認方法は?
同様の関数を書く際にidやcodeなどの条件をどこに置くかについて相談したいと思います。
他人のIDに変更した場合、ユーザー情報を変更できますか?
では、変更権限を確認しないと、自分で変更することになりますか?



URLに入れても大丈夫ですが、検証はサーバーに依存します。
情報を変更できるのはログインしたユーザーだけではないでしょうか?

重要なのは、入力された ID がどこから来たのか、そしてそれが何に使用されるのかということです。


悪意のあるユーザーがあなたの ID を別の ID に変更しましたか?確認方法は?
同様の関数を書く際にidやcodeなどの条件をどこに置くかについて相談したいと思います。
他人のIDに変更した場合、ユーザー情報を変更できますか?
では、変更する権限を確認しませんか? 確認しない場合は、自分自身を変更することになりますか?
それがあなたであるかどうかを確認するにはどうすればよいですか?セッションを使用しますか? 非表示の ID を使用するか、セッション内の ID を直接使用します。

はい、ログインに成功すると、セッションに ID を記録し、編集時にセッションの ID が URL 内の ID または非表示の ID と等しいかどうかを確認できます。それがあなたであるかどうかを判断できます。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。