我正在开发一个PHP webapp,它具有用户配置文件来创建&修改&删除(你知道)
当我修改我的配置文件时,我将$ userID发送到PHP页面,然后我加载所有用户数据。 $ userID存储在隐藏输入中,因为我需要它在提交后启动UPDATE查询。
我注意到用户可以按F12并将该用户ID更改为另一个用户ID,并可以修改(或删除)其他用户个人资料。
很抱歉,如果这是一个愚蠢的问题,我想这是表单提交中的常见问题,但我不知道你是如何面对它的(在这种情况下最安全的策略是什么)。
请帮助: - )
答案 0 :(得分:2)
您不应公开敏感的ID /数据。 这样做没有“安全”做法。
你应该使用会话变量,如@cmrrissey建议
@session_start(); #at before any outputscript
$_SESSION['userID'] = $senstiveId;
此外,您不应该依赖前端验证。 您必须在您的服务器上重新检查/验证您的最终用户发送给您的信息。