我正在使用Django编写Web应用程序。我试图让用户看到它的个人资料,只有他自己的资料。是否有可能伪造Django服务器的HttpRequest属性
if(not request.user.id == request.GET.get('user_id', '')):
raise PermissionDenied
我的问题是:这是安全检查这种方式或有可能是一个聪明的孩子以某种方式改变request.user.id
价值相匹配的人的user_id
?
用户必须在使用该访问该页面之前被记录在:
user = LDAPBackend().authenticate(username=username, password=password)
if(user is not None):
login(request, user)
这是一个分级的应用程序,因此,任何教师都可以访问任何学生的个人资料,但任何学生只能看到自己的形象。这就是为什么我明确地通过student_id。谢谢! – pocpoc47