腾讯云

开发者社区

文档建议反馈控制台

首页

文章/答案/技术大牛

发布

社区首页 >问答首页 >添加文章的ID作为隐藏输入而不确保它存在于服务器端被认为是不好的做法吗？

问添加文章的ID作为隐藏输入而不确保它存在于服务器端被认为是不好的做法吗？
EN

Stack Overflow用户

提问于 2012-07-21 02:44:30

回答 2查看 166关注 0票数 0

假设我有以下表格：

comments：c_id，英特尔，a_id，body
articles：title，英特尔，body

我有一个评论系统(类似于SO)。但当然，我必须提供文章的Id，有很多方法可以做到这一点。

因此，我采用了简单的方法，即使用文章的ID创建一个隐藏输入，如下所示：

<input type="hidden" name="article_id" value="1" />

然后简单地将其POSTed到服务器端。并使用MySQL插入到表中。但是，不好的用户不可能更改隐藏输入中的数据吗？

例如，如果他更改了隐藏的输入并放入了一个无效的ID，或者一篇不存在的文章，或者任何我真的不需要的东西。这是我应该考虑的事情吗？因为唯一会发生的事情就是无效的注释，仅此而已。因为我得到了所有整数输入的intval，所以我不怕任何类型的SQL注入。

底线:我是否真的应该关心无效评论，并发出额外的查询来检查文章是否首先存在，这将占用更多的资源，只是为了确保不会插入无效的无害评论。

php

mysql

html

security

音视频低代码开发方案最快1天上线

推出 TUICallKit 和 TUIRoomKit 低代码集成方案，最快1天接入在线教育、语聊房、在线客服等应用

回答 2

Stack Overflow用户

回答已采纳

发布于 2012-07-21 02:46:20

您应该始终检查以确保用户没有插入错误/无效的数据。

永远不要相信客户。更改隐藏值非常容易。

现在你应该在你的数据库中有foriegn key约束，这将在一定程度上保护你不受这种情况的影响，但是如果他们把文章id改成了有效的东西，但是他们可能不能访问(文章被锁定)你想要保护的东西而不是那个东西。

票数 1

Stack Overflow用户

发布于 2012-07-21 02:50:20

用户可以更改数据的说法是100%正确的。底线是，客户端上的任何东西都可以由客户端修改(好的或坏的)。

我肯定会验证来自客户端的ID，不管你是如何使用它的。如果您设置了适当的外键关系，那么在技术上将无效it插入到数据库中应该会失败，但是假设您没有这样做，那么它可能会导致数据库中充满无效数据。

此外，如果您跟踪所有提交的“无效”if以及提交它们的用户，您可以(在将来)实现可以阻止/禁止用户发布评论的逻辑。

票数 1

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/11589082

复制

wordpress文章ID不连续

html

2016-05-3023:03:51 发表评论 1,092℃热度先说明，这个明显是强迫症才会搞这种累死人不的好处的活，当然，我也是这种人。当初 Typecho 写文章的时候还没太在意，因为文章 ID

timhbw

2018/05/03

8300

CSS隐藏内容的几种做法

css

在CSS中，让元素隐藏（指屏幕范围内肉眼不可见）的方法很多，有的占据空间，有的不占据空间；有的可以响应点击，有的不能响应点击。后宫选秀——一个一个看。

javascript.shop

2019/09/04

1.5K0

解决Word Press文章ID不连续的问题

php wordpress word 博客后台

在WordPress后台并没有直接的提供关闭这个功能的选项，那么该如何解决文章ID不连续的问题呢？今天就给大家讲讲如何把这个功能完完全全的隐蔽掉。

白黎

2023/03/16

4900

[WP教程]如何解决WordPress文章ID不连续的方法

腾讯云开发者社区 wordpress https 网站建设网络安全

由于 WordPress 自身机制问题，导致我们在固定链接中使用了文章ID，那么就会导致文章ID不连续，虽说文章ID不连续倒也没什么，但有强迫的人总感觉比较别扭。

若梦

2022/04/01

1.5K0

如何在你的文章中添加隐藏的版权信息

编程算法

现在有4个中文汉字：我是青南，首先介绍Python的 ord函数，它可以查询Unicode字符对应的Unicode码

青南

2019/03/18

1.6K0

WordPress完美解决文章ID不连续问题

腾讯云开发者社区 php http wordpress 网站建设

一、禁用文章修订版所谓的文章修订版就是你每次修改一次文章，它都会自动帮你保存修改之前的文章版本，专业术语叫做版本控制，这样保证了在误修改的情况下可以还原之前的内容，这个在维基文档的维护方面是有很大帮助的，但是作为我们的小博客，似乎没多大用处，而且这个修订版在数据库中是占据一个ID的，这也是导致文章ID不连续的问题之一。要想禁用文章修订版，可以在 wp-config.php文件中添加:

超级小可爱

2023/02/20

1.6K0

为什么人工智能被认为是机遇而不是危险?

神经网络深度学习人工智能智能家居教育

人工智能的腾空出世，让许多人心存疑惑，这究竟对人类来说，是机遇，是挑战，还是某种未知的危险？成为了一个饱受争议的问题。人工智能作为一门交叉科学，涉及到社会学、信息学、控制学、仿生学等众多领域，既是生命科学的精髓，更是信息科学的核心。在新一代信息技术接力式创新的驱动下，万物互联和智能化趋势越发明显，也更有力的证明人工智能的机遇远远大于危险。

用户8858632

2021/11/30

4270

真正完美解决wordpress文章ID不连续问题

其他

WordPress默认情况下发布的文章ID不是连续的，因为自动草稿、文章修订版、页面、菜单、媒体等功能都要占用ID，所以使得ID不连续。百度了一圈，居然有人给出这样的解决方案：“这样如果你只是单纯发文章，不发页面，不添加菜单，不上传媒体的话，基本上此后的文章ID是连续的”，我也是相当无语。

小俊是我

2018/10/10

1.7K0

WordPress 最终完美解决文章固定链接ID 不连续的问题方案

wordpress

文章 ID 不连续是很多 “强迫症” 博主的烦恼，尤其是使用了文章 ID 作为固定连接之后，每篇文章的 ID 并不连续，非常不好。从原因来看，文章 ID 不连续主要是因为自动保存的文章、媒体、页面和其它文章类型占用了 ID 导致的，网上的解决方法一般是强制的禁止自动草稿、不在媒体库上传媒体、不建立页面等等，但这种方法会导致使用上的不便利，而且很有局限性。解决方案本文说的方法也是治标不治本，但却能比较好的解决链接上的 ID 不连续这个问题。这个方法就是利用别名，自动给文章设置一个别名，别名按顺序递增，

用户1202364

2018/07/09

1.8K1

可以搜索到DedeCms后台文章列表文档id吗？或者快速定位id编辑文章

网站

　　我们在建站时有的时候发现之前的文章有错误了，要进行修改，但又不知道文章名，只知道大概的文章id，那么可以搜索到DedeCms后台文章列表文档id吗？或者快速定位文章id方便修改？　　第一种方法：

ytkah

2018/03/06

1.7K0

Java系列 | 属性依赖注入被认为是有害的

网络安全编程算法 spring 容器腾讯云测试服务

在依赖注入框架中，字段注入是一种非常流行的做法，例如Spring。然而，它有几个严重的权衡因素，一般来说应该避免。

Tinywan

2023/03/08

7440

MD5防止数据被篡改的做法

编程算法

最近做IM系统，移动端一个同学问我怎么防止App发出来的数据被篡改（防止内容泄露更重要），我想到了“签名校验 ”的方法。

普通程序员

2019/10/23

1.9K0

【说站】WordPress网站文章ID不连续如何解决？

腾讯云开发者社区 wordpress 网站建设 php http

对于WordPress网站文章ID不连续的问题困扰了我很久，今天将WordPress文章ID不连续的原因和具体解决办法做详细的说明。

很酷的站长

2022/11/24

5650

c++输入隐藏密码的实现

c++编程算法

最近在用C++编写一个图书管理系统, 其中需要用户的登录, 原来没有想太多, 就用了普通的cin输入, 但是前两天组里的同学说, 要是输入密码的时候能将其隐藏就好了。以前做网站的时候, 有各种标签属性可以很方便的实现这个功能, 但是现在是控制台…不知道怎么搞了。最后百度谷歌后发现了一个很神奇的函数

零式的天空

2022/03/08

1.9K0

RabbitMq如何确保消息不丢失

rabbitmq 存储

上篇写了掌握Rabbitmq几个重要概念，从一条消息说起，这篇来总结关于消息丢失让人头痛的事情。网络故障、服务器重启、硬盘损坏等都会导致消息的丢失。消息从生产到消费主要结果以下几个阶段如下图。

李明成

2020/09/27

1.1K0

我们不雇佣数理逻辑不好的学生

编程算法

想象一下，如果 1ml 水价值 100 元，那么 1 瓶 500ml 的水就价值 5 万元；

统计学家

2020/12/08

3970

EditText输入密码的显示和隐藏

python css

密码的显示和隐藏是一个很常见的小知识点，主要包括2个部分：小图标的变化和EditText输入密码的显示和隐藏

AntDream

2019/07/15

2.5K0

总结 XSS 与 CSRF 两种跨站攻击

安全漏洞 javascript

作者：Jiangge Zhang 来源：https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/（点击文末阅读原文前往）那个年代，大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用，于是 SQL 注入成了很流行的攻击方式。在这个年代，参数化查询已经成了普遍用法，我们已经离 SQL 注入很远了。但是，历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了，所以我对用户输入的数据一直非常小心。如果输入的时候没有

java达人

2018/01/31

1.8K0

Kafka 和隐藏在它背后的幽灵

kafka 大数据分布式官方文档

趁着周末简单聊下 Kafka。Kafka 基本上已经成为了大数据领域里的消息系统的标配，仿佛做实时处理不知道或者不懂 Kafka 就落伍了一样。不过也确实如此，不像很多大数据领域里的其它组件有很多竞品，比如计算引擎领域有 MapReduce、Spark、Impala、Presto等，资源调度有 Yarn 、K8S 等，诸如此类，不胜枚举。但是在大数据领域的消息系统这块除了近些年宣传的比较火的 Apache Pulsar 勉强一争外，基本上都是 Kafka 一家独大，或者是类似于 Kafka 的架构。那么 Kafka 有什么特别的呢？

哒呵呵

2020/05/08

5420

dotnet C# 通过 Vortice 将 ID2D1CommandList 作为特效的输入源

c#博客对象入门特效

使用 Direct2D 过程中将可以使用到 Direct2D 强大的特效功能，比如给某些界面绘制内容添加特效支持。本文将告诉大家如何通过 Vortice 将 ID2D1CommandList 作为特效的输入源，从而实现给某些绘制好的界面元素叠加特效

林德熙

2023/06/18

2430

相似问题

使用静态方法作为工厂被认为是不好的做法吗？

DefType语句被认为是不好的做法吗？

下面的演员被认为是不好的做法吗？

使用绝对定位被认为是不好的做法吗？

124

使用document.on()被认为是不好的做法吗？

活动推荐

提供高质量视频生成与处理服务，效果专业

添加站长进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例