推 chph:你寫的是正確的, 編輯某筆資料透過GET丟主鍵過去很常見 02/02 14:41
如果是稍微懂點網頁的在編輯時改一下GET的主鍵就可以跳到別筆資料
EX.使用者只可以編輯自己的發文
請問要如何防止呢?
還是要再送出時直接在目標頁面確認是否權限相符?
※ 編輯: sing10407 來自: 1.168.207.246 (02/02 14:44)
→ chph:記得拿 id 去查資料庫時處理好 SQL injection 就可以了 02/02 14:42
→ chph:"使用者只可以編輯自己的發文" 這個程式邏輯當然要自己實作啊 02/02 14:45
好 謝謝
※ 編輯: sing10407 來自: 1.168.207.246 (02/02 14:46)
→ ssccg:權限控管當然在server端要作,就算是post也一樣要檢查 02/02 14:46
→ chph:下 SQL 撈文章時也要加上作者是當下登入使用者的篩選 02/02 14:46
推 LaPass:用post傳我一樣改給妳看..... 02/02 15:54
→ LaPass:最根本的解決方式,還是要從SERVER端去檢查 02/02 15:54
推 pm2001:post好處是用ssl會加密 get不會 02/02 17:13
→ tyf99:就登入綁session啊.. 02/02 17:57
→ kerash:搜尋csrf防範 跟 xss防護 02/02 21:04