在写网站的时候，有修改资料的功能我把用户ID放在type='hidden'的input里面了-php教程-PHP中文网

首页

后端开发

php教程

在写网站的时候，有修改资料的功能我把用户ID放在type='hidden'的input里面了

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 20, 2016 pm 12:29 PM

在写网站的时候，有修改资料的功能。我把用户ID放在type='hidden'的input里面了？
这样是不是特别不安全？
如果不放在这里面应该放在哪里，那些大网站在做修改或删除的时候哪些where条件都放在哪里了？

回复讨论(解决方案)

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗？

？？放在url中？？？好吧。

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

恶意用户把你的ID改了成了别的ID？怎么验证？
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。

你放在 type='hidden' 中是修改不了的
如果一定要在调试工具里修改，那就不是好人了

如果说要防止，那就只有： 拔掉网线

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

恶意用户把你的ID改了成了别的ID？怎么验证？
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
换成别人的ID之后怎么样，修改用户资料吗？
那修改权限，你都不检查吗，不检查是否是修改自己？

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

恶意用户把你的ID改了成了别的ID？怎么验证？
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
换成别人的ID之后怎么样，修改用户资料吗？
那修改权限，你都不检查吗，不检查是否是修改自己？
怎么判断是否是自己？用session?那是不是就用hidden的ID就行了，直接用session里面的ID是不是就行了。

对啊，你登陆成功了可以记个ID在session里，然后编辑时检查session 里的ID是否等于url中或者hidden的ID不就可以判断出来是不是自己了。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

在Laravel中使用Flash会话数据Mar 12, 2025 pm 05:08 PM

Laravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息，警报或通知。默认情况下，数据仅针对后续请求： $请求 -

php中的卷曲：如何在REST API中使用PHP卷曲扩展Mar 14, 2025 am 11:42 AM

PHP客户端URL（curl）扩展是开发人员的强大工具，可以与远程服务器和REST API无缝交互。通过利用Libcurl（备受尊敬的多协议文件传输库），PHP curl促进了有效的执行

简化的HTTP响应在Laravel测试中模拟了Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法，简化了 HTTP 交互测试。这种方法显着减少了代码冗余，同时使您的测试模拟更直观。基本实现提供了多种响应类型快捷方式： use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>