我必须在AdminUsers.aspx页面中使用UserId(以管理用户激活和取消锁定帐户)。我打算将UserId保存为gridview DataKey。 但问题是我不知道userId是否可以保存在viewstate中并向用户公开。 UserId有任何安全问题吗?
感谢名单
答案 0 :(得分:2)
如果您使用HttpContext.Current.User.Identity.Name,则安全风险很小,因为每个用户都有自己的会话。
答案 1 :(得分:2)
听起来UserID只是User表的主键。因此,我没有看到任何安全问题。了解内部主键不应该有助于未经授权的访问。
许多数据库使用Identity(int)主键。如果系统的设计方式可以通过主键进行损坏,那么恶意用户可以继续尝试数字。
编辑:刚才意识到这是标记的asp.net成员资格,所以我假设UserID是成员资格使用的GUID。我仍然认为这不是一个安全问题。这只是一个主键。答案 2 :(得分:0)
您可以以加密格式将UserID保存在数据库中。现在在gridview中,您可以拥有隐藏的标签。在编辑特定行时,您可以访问隐藏的用户ID,最后解密....