讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
首页 > 后端开发 > php教程 > 正文

在修改资料的模块中把用户 ID 放在 type="hidden" 的 input 里面是否不安全?

php中文网
发布: 2016-06-06 16:44:54
原创
1410人浏览过

这样是不是特别不安全如果不放在这里面应该放在哪里,哪些大网站在做修改或删除的时候哪些where条件都放在哪里了?

Vheer
Vheer

AI图像处理平台

Vheer 260
查看详情 Vheer

回复内容:

那你后面修改数据时是不是依赖用户这次提交的这个 id?如果我作为用户随便填一个别人的 id 提交,那他的资料是不是被我改掉了?敏感数据用 session 机制会更好一点,用户端只存一个 session id 。 我一般都是靠cookie辨认用户。。。 根本不用传。

如果你系统当前用户是谁都不知道,系统怎么调出原来的资料放到表单中供用户修改的? 这不是 id 放哪里的问题,而是后端权限处理的问题,如果后端权限处理得当,即便前端如何伪造请求也没有问题。 像这种用session 非要隐藏,那就再再写一个,两者建立一个算法关系,服务器端把算法关系做比较,然后通过在做处理,但是也是不安全的,算法过于简单,很容易被攻破,总之,不要相信客户端的一切数据源 你们怎么看 永远不要相信客户端的输入…… 1. 你打算修改当前登录用户的资料,那么用户id不需要传递,一般考虑从session中获取,登录的时候将id保存到session,编辑的时候从session读取。
2. 当前用户是管理员?管理员修改其他用户的资料?这样的话,通过hidden input传递过来的ID,需要在后端进行权限判断,判断当前用户是否有权限修改传递过来的用户id。 可以用hashids

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:如何用好「自学了 PHP 两个月不知单双引号的区别」的程序员? 下一篇:小型网站建站框架(Python,PHP..)有什么好的推荐吗?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
浏览器怎么直接打开php文件_浏览器打开php文件需配置吗【方法】 浏览器不能直接打开PHP文件,因为PHP是服务器端脚本语言,需由Web服务器(如Apache、Nginx)和PHP解析器共同执行后返回HTML,浏览器才可渲染;双击或用file://协议打开仅显示源码或触发下载。
2025-12-24 01:11:27
186
PHP怎么获取苹果支付用户ID_苹果支付用户IDPHP获取方法【步骤】 ApplePay不直接返回用户ID,可通过四种方式间接识别:一、解析PKPaymentToken获取唯一transactionIdentifier;二、merchantSession绑定登录态;三、onvalidatemerchant中注入用户上下文;四、通过Server-to-ServerNotifications的transactionId反查用户。
2025-12-24 00:53:22
459
php源码怎么使用_用PHP源码配置环境实现功能调用教程【教程】 首先搭建PHP运行环境,安装XAMPP等集成工具并启动Apache和MySQL服务,将源码放入htdocs目录并通过浏览器访问;接着配置数据库连接信息,修改config.php等文件中的主机、用户名、密码和数据库名,并导入SQL文件创建数据表;然后启用必要扩展,在php.ini中开启mysqli、pdo_mysql、curl、json、mbstring、gd2等模块并重启服务;再设置文件权限,确保uploads、cache等目录具有读写权限,并核对路径参数与服务器结构一致;最后调用功能接口,分析
2025-12-24 00:51:17
875
网页嵌入php链接失败函数未定义怎么处理_网页嵌入php链接失败函数引入法【解决】 需确保PHP服务器环境正确配置、函数定义在调用前加载、文件引入路径准确、作用域与命名空间匹配,并验证短标签及PHP版本兼容性。
2025-12-23 21:54:08
672
网页嵌入php链接失败Apache配置问题怎么解_网页嵌入php链接失败Apache检查法【方案】 Apache未正确解析PHP文件的常见原因及修复方案包括:一、确认php_module已加载;二、检查AddType或SetHandler配置;三、验证DocumentRoot路径与文件权限;四、排查.htaccess覆盖限制;五、检查SSI支持与嵌入语法。
2025-12-23 21:51:11
298
php函数返回数组长度步骤_php获取数组大小返回技巧【解析】 PHP中获取数组长度应使用count()函数,它支持一维和多维数组,默认统计第一层元素;sizeof()是其别名;多维数组需加COUNT_RECURSIVE参数递归计数;操作前须用is_array()校验类型;配合array_keys()可实现条件过滤计数。
2025-12-23 21:49:02
809
Word文档如何触发php代码执行_Word文档触发php代码执行方法【说明】 Word文档本身无法直接执行PHP代码,只能通过超链接、OLE嵌入HTML、VBA宏或导出后提交等方式间接触发服务器端PHP脚本运行。
2025-12-23 21:44:34
779
PHP增删改查怎么判断操作成功_php操作结果判断【逻辑】 必须依据不同数据库扩展的返回值特性判断PHP数据库操作是否成功:mysqli面向过程/对象需区分查询与非查询返回类型,PDO需结合错误模式与rowCount(),业务成功还需校验影响行数,辅以错误日志与SELECT验证。
2025-12-23 21:42:46
803
php静态网页设计如何设置文本对齐方式_php静态网页设计textalign属性应用【指南】 PHP静态网页中可用CSStext-align控制文本对齐:一、内联样式如style="text-align:center";二、内部样式表定义class;三、外部CSS文件统一管理;四、PHP变量动态输出;五、表格中需配合vertical-align实现居中。
2025-12-23 21:41:32
800
php静态网页设计怎样创建404错误页_php静态网页设计404页面设计与跳转【教程】 可通过创建404.html或404.php文件并配置服务器重写规则来实现自定义404页,前者兼容性强、加载快,后者支持动态内容和精确状态码控制,需配合Apache或Nginx配置生效。
2025-12-23 21:39:27
448
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部