我想知道是否有人知道下面的情况是否会发生。HTTP POST可以改变吗?
假设我已经动态生成了一个具有特定于该客户的产品复选框的表单。如果客户检查这些箱子,则在发布表格时产品将被删除。复选框以productID命名。
现在我的处理程序将检查response.form并解析productID,然后根据productID从数据库中删除产品。
有人可能会通过向POST添加假复选框名称来修改帖子以允许其他productIDs被删除,可能是产品表中的所有内容?
如果是这样,在删除productID与已验证的用户相关之前很容易检查,并且他们有足够的角色来删除或生成一个随机数,并用复选框标记复选框而不是其产品ID,不过,我现在没有这样做。任何指向这方面最佳实践的指针都会很好。
我以前从来没有考虑过这个问题,不知道有多少人实际上默认这样做,还是有一百万个网站可以使用?
谢谢
谢谢,我会看这也可能是最便宜的方式,而不是要回数据库来检查POST。 – user742170 2011-05-06 17:24:14