讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
首页 > 后端开发 > php教程 > 正文

在写网站的时候,有修改资料的功能我把用户ID放在type='hidden'的input里面了

php中文网
发布: 2016-06-20 12:29:41
原创
1060人浏览过

 在写网站的时候,有修改资料的功能。我把用户id放在type='hidden'的input里面了?
 这样是不是特别不安全?
如果不放在这里面应该放在哪里,那些大网站在做修改或删除的时候哪些where条件都放在哪里了?

论小文
论小文

可靠的论文写作助手,包含11种学术写作类型,万字论文一键生成,可降重降AIGC,参考文献真实可标注,图表代码均可自定义添加。

论小文 435
查看详情 论小文


回复讨论(解决方案)

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗?

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗?


??放在url中???好吧。

放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?

放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?


恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。

你放在 type='hidden' 中是修改不了的
如果一定要在调试工具里修改,那就不是好人了

如果说要防止,那就只有: 拔掉网线


放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?


恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
换成别人的ID之后怎么样,修改用户资料吗?
那修改权限,你都不检查吗,不检查是否是修改自己?



放在url都没问题,安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗?

关键看你的input  ID主要是从哪里来的,要用来干什么?


恶意用户把你的ID改了成了别的ID?怎么验证?
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。
换成别人的ID之后怎么样,修改用户资料吗?
那修改权限,你都不检查吗,不检查是否是修改自己?
怎么判断是否是自己?用session?那是不是就用hidden的ID就行了,直接用session里面的ID是不是就行了。

对啊,你登陆成功了可以记个ID在session里,然后编辑时检查session 里的ID是否等于url中或者hidden的ID不就可以判断出来是不是自己了。

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:关于PHP类继承的问题 下一篇:为何只显示一项?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
PhpStorm能否自定义快捷键_PhpStorm快捷键映射与冲突解决【攻略】 可通过PhpStorm键映射系统自定义快捷键、导入导出方案、解决冲突、禁用插件热键或恢复默认配置:依次进入Settings→Keymap操作,支持实时生效、XML迁移、冲突标识与插件级禁用。
2025-12-23 19:11:02
758
RSC与PHP安全性谁更好_防护机制对比【安全】 RSC是外部嵌入式主动防护技术,PHP原生安全依赖配置与开发实践;前者通过Hook实时拦截异常行为,后者需手动禁用高危函数、启用安全配置及框架加固。
2025-12-23 19:07:13
230
网页嵌入php链接失败session出错如何处理_网页嵌入php链接失败session排查法【方法】 PHP嵌入链接请求失败且报session错误,需按五步排查:一、消除输出前意外字符并启用ob_start();二、统一session启动位置与配置;三、修正cookie域、路径及安全参数;四、检查存储权限与连接;五、确保嵌入请求携带cookie。
2025-12-23 19:01:33
350
php二维数组变一维数组_php多维数组降维操作方法【解析】 PHP二维数组降维有五种方法:一、array_merge与...运算符(限数字键二维数组);二、array_reduce配合array_merge(兼容部分关联键);三、foreach循环手动追加(完全可控,适合复杂逻辑);四、RecursiveIteratorIterator递归迭代(支持任意深度);五、array_walk_recursive(仅提取标量值,忽略数组元素)。
2025-12-23 18:51:27
891
PHP验证码怎么避免重复字符_PHP去重验证码字符方法【规则】 PHP验证码字符重复率过高是因随机选取未去重,解决方法有五种:一、数组随机抽取并移除元素;二、shuffle打乱后截取前N位;三、while循环配合in_array检查重复;四、mt_rand与键值映射索引排除法。
2025-12-23 18:50:02
909
RSC与PHP日志处理方式相同吗_记录机制【日志】 RSC与PHP日志处理在触发机制、存储路径、格式元数据、级别映射及缓冲策略五方面存在本质差异:RSC由系统级组件自动触发、存于journald二进制日志、自带结构化元数据、遵循RFC5424级别、异步刷盘;PHP依赖应用显式调用、输出至文本文件、原生格式简陋、错误级别语义不同、默认阻塞写入。
2025-12-23 18:49:40
621
图片怎样点击触发php代码执行_图片点击触发php代码执行方法【指南】 点击图片触发PHP需通过客户端与服务器交互实现,方法包括:一、表单提交;二、AJAX异步请求;三、超链接跳转;四、隐藏iframe无刷新提交。
2025-12-23 18:49:18
203
linux怎么装php环境_宝塔面板快速搭建法【教程】 在Linux上用宝塔面板安装PHP环境只需两步:先执行官方脚本安装宝塔,再通过软件商店一键部署LNMP/LAMP套件并选择PHP版本;部署完成后通过phpinfo()验证即可。
2025-12-23 18:43:16
452
PhpStorm如何查看PHP内置函数文档_PhpStorm文档弹出与跳转【技巧】 PhpStorm中可通过快捷键Ctrl+Q(Windows/Linux)或F1(macOS)查看PHP内置函数文档,需正确配置PHP解释器、语言级别,并确保索引完成;Ctrl+Click可跳转至stub文件,Shift+F1打开php.net官方文档。
2025-12-23 18:37:33
424
PHP增删改查怎么循环输出结果_php循环显示数据【代码】 PHP循环输出数据库查询结果有五种方法:一、while+mysqli_fetch_assoc;二、foreach+PDO::fetchAll;三、for+mysqli_num_rows;四、while+PDOStatement::fetch;五、模板分离+foreach。
2025-12-23 18:35:57
140
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部