我有一个用于编辑用户的表单。将用户标识传递给客户端(在隐藏字段中),以便我知道在表单发回服务器时要更新哪个用户。我的问题是,如何防止用户更改DOM中的ID,从而更新他们不应访问的记录?如何保护这个PHP表格
我能想到的唯一方法是:
- 保存在会话的用户ID。 (痛苦)。
- 在用户标识(也可能包含其他表单元素)上运行盐渍散列,并将其也作为隐藏的表单元素包含在其中。 (不是特别安全吗?)
还有其他方法吗?
谢谢!
编辑:嘿,一些伟大的响应进来。请注意,登录的用户和正在编辑的用户可能是两个不同的用户,例如,经理正在编辑员工记录。
保存会话中的用户ID绝对是唯一的理智选择。为什么会很痛苦?这是不是你已经保存在会话中的信息? – 2011-03-04 13:41:07
您的案例中的盐渍散列也相当安全。 – Ivan 2011-03-04 13:47:55