在现代web应用中,经常需要根据用户的身份来展示个性化的数据。例如,一个招聘网站可能只允许用户查看自己发布的职位列表。本文将介绍一种在前端javascript中实现这一功能的方法,并深入探讨其潜在的安全风险和性能问题,最终推荐更健壮的后端解决方案。
假设我们有一个HTML表格,用于展示从数据库获取的职位列表。初始代码通过AJAX请求获取所有职位数据,并遍历这些数据来构建表格行。我们的目标是只显示那些 createdByUserID 字段与当前登录用户ID匹配的职位。
在前端,通常可以通过某种方式获取当前登录用户的ID。例如,一个常见的模式是将用户ID嵌入到页面元素的数据属性中,或者通过JavaScript全局变量提供。在示例中,假定用户ID可以通过 zuojiankuohaophpcndiv data-ms-member="id"></div> 这样的方式获取,或者在JavaScript中预先设置。
// 假设这是获取当前登录用户ID的方式
// 实际应用中,你需要根据你的认证系统来获取这个值
var currentUserID = /* 从HTML元素、全局变量或API获取当前用户ID */;
// 例如,如果用户ID在某个div的data属性中
// var currentUserID = $('[data-ms-member="id"]').text();原始代码通过 $.getJSON 获取数据后,使用 $.each 遍历 data.records。我们可以在构建表格行之前,添加一个条件判断来过滤不属于当前用户的数据。
$(function() {
// 假设这是获取当前登录用户ID的方式
// 实际应用中,你需要根据你的认证系统来获取这个值
// 例如,如果用户ID在某个div的data属性中
var currentUserID = $('[data-ms-member="id"]').text(); // 获取当前登录用户的ID
$.getJSON('https://db-ommitted-for-privacy?tableName=JobListings&fields=company,logo,img,companyDescription,role,roleDescription,location,link,createdByUserID,dateAdded&view=AllListings', function(data) {
$.each(data.records, function parseJSON(i, { fields: f }) {
// 在这里添加过滤逻辑
// 如果职位的创建者ID与当前用户ID不匹配,则跳过当前记录
if (currentUserID != f.createdByUserID) {
return true; // 使用 return true; 相当于 continue,跳过当前循环迭代
}
// 只有当条件匹配时,才执行以下代码来构建并添加表格行
var tblRow = "<tr>" +
"<td>" +
"<div style='padding-top: 1%; padding-bottom: 1%;'>" +
"<div style='border: 1px solid black;'>" +
"<button class='accordionList' style='font-size: large; outline: none;'>" +
"<span style='padding-top: 2.5%; padding-bottom: 3%;'>" +
"<img src='" + f.logo + "' height='30px'>" +
"</span> <span style='padding-top: 3%; padding-bottom: 3%;'> " +
f.company + " | " + f.role +
" <span style='color: #2b2b2b;''><span class='iconify-inline' data-icon='eva:pin-outline' style='color: #2b2b2b;'></span> " + f.location +"</span></span>" +
"</button>" +
"<div class='panel'>" +
"<img src='img/jobBanner2.png' width='100%'>" +
"<br>" +
"<p style='color: #505050;'>Posted: " + f.dateCreated + " | Status: " + f.status + "</p>" +
"<h4>About this role:</h4>" +
"<p>" + f.roleDescription + "</p>" +
"<h4>About " + f.company + ":</h4>" +
"<p>" + f.companyDescription + "</p>" + "<br>" +
"<a href='pricing.html' class='button btn btn-lg btn-block btn-sm button-black' style='padding-top: 1%; padding-bottom: 1%; width: 200px;'>Apply <span class='iconify-inline' data-icon='bi:arrow-right-circle' data-width='15' style='color: white;'></span></a>" +
"<br>" + "</div>" +
"</div>" +
"</div>" +
"</div>" +
"</td>" +
"</tr>";
$(tblRow).appendTo("#userdata tbody");
});
});
});在 $.each 循环内部,我们通过 if (currentUserID != f.createdByUserID) { return true; } 语句实现了过滤。如果当前记录的 createdByUserID 与 currentUserID 不匹配,return true; 将会跳过当前迭代,继续处理下一条记录,从而确保只有匹配的记录才会被渲染到页面上。
立即学习“前端免费学习笔记(深入)”;
尽管上述前端过滤方法可以实现功能,但在实际生产环境中,强烈不推荐采用这种方式处理敏感数据。这主要基于以下两个关键原因:
前端过滤的根本问题在于,它需要从服务器获取所有数据,然后才在客户端进行筛选。这意味着即使在页面上只显示了用户自己的数据,但通过浏览器的开发者工具(如网络请求监控),任何用户都可以看到从数据库中获取的全部原始数据,包括不属于他们的数据。
例如,如果一个恶意用户查看网络请求,他们可以看到包含所有用户创建的职位列表的JSON响应。这会暴露敏感信息,并可能被滥用,造成严重的数据泄露风险。
当数据库中的记录数量很少时,前端过滤可能不会造成明显的性能问题。但随着数据量的增长,每次加载页面都需要:
这会导致页面加载速度变慢,用户体验下降,尤其是在移动设备或网络条件不佳的环境下。
为了解决上述安全和性能问题,最佳实践是在后端服务(如使用PHP、Node.js、Python、Java等)进行数据过滤。
尽管前端过滤提供了一种快速实现特定功能的方式,但其固有的安全漏洞和性能限制使其不适用于处理敏感或大量数据。在构建生产级别的Web应用时,始终应优先考虑在后端服务进行数据过滤,以确保数据安全、系统高效和用户体验良好。
以上就是根据用户ID过滤显示数据库记录的前端实现与安全考量的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
823
收藏
