我只是有这个想法,我不知道我是否慢。网络应用程序:存储ID隐藏字段安全吗?
通常,我将我正在编辑的项目的ID存储在隐藏字段中。然后在后端(我使用PHP/Zend框架btw),我知道它确定哪些项目被编辑。但后来我想,在更安全的情况下,例如。编辑配置文件,用户可以以某种方式编辑隐藏的字段吗?然后他可以编辑其他人的个人资料。我知道编辑配置文件,我可以得到ID形式的会话变量,但是如果我有什么需要我将ID存储在某处?
我得到ACL(Zend_Acl)我这样做。基本上从请求中获取参数params
$id = $req->getParam('id');
然后检查是否允许登录的用户编辑该项目。但事情是我不知道这个网址是不是像/users/edit/1
其中1是id。但不知何故,隐藏字段变为2,请求参数是什么?
你会如何处理这个问题?
我想知道如果id参数在GET和POST中都设置,我会得到什么值?哪些将被使用? – 2010-08-05 13:22:32
它是在php.ini – 2010-08-05 13:46:06
中定义的那么当然,这取决于你实际调用的是哪一个。 $ _POST或$ _GET。然后,您可以选择使用哪一个,并且据我所知,使用全局变量并不是一个好主意。 – webnoob 2010-08-05 13:56:14