通过Get传递MySQL唯一ID时的安全性
通过Get传递MySQL唯一ID时的安全性
提问于 2009-08-05 17:50:42
假设我有一个网站,在我的主页上有各种书籍的链接。
<a href='books.php?id=1'>Book 1</a>
<a href='books.php?id=2'>Book 2</a>
<a href='books.php?id=4'>Book 3</a>书1-3在我的系统中,但是id=3是另一个目录的一部分,我没有通过网站的这一部分显示或授权。因此,如果用户点击第三本书,然后将id=4更改为id=3,他们可以简单地拉出记录(假设我没有正确的会话检查)。
有没有一种好的方法来隐藏你在尝试拉取特定记录时传递的get id?似乎只要传递id就可以很容易地请求页面,如果没有适当的查询和会话检查,您将能够获得另一个结果。
有没有更好的方法来做这件事?
干杯
回答 5
Stack Overflow用户
回答已采纳
发布于 2009-08-05 17:54:13
您需要始终检查用户是否能够访问该页面。这是验证你没有显示错误数据的唯一方法,因为别人总是可以修改他们要转到的链接,即使你以某种方式隐藏了它。
这是无法逃脱的。您始终需要验证该记录是否可访问。
Stack Overflow用户
发布于 2009-08-05 17:55:33
您也许可以使用md5或其他工具对您的id或其他内容进行散列处理,以增加手动输入的难度,但这真的不是一个好主意。
您应该做的是在books.php脚本中实现服务器端安全性,以防止用户进行未经授权的访问。这是唯一能保证你网站安全的东西。
Stack Overflow用户
发布于 2009-08-05 17:53:15
只要检查id是否允许显示即可。
get的一个很好的做法是当你检查你可能有的任何参数时。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/1234724
复制相关文章
相似问题
腾讯云开发者
