的来源,我显示成员的图片。而且,所有这些图片都有一个href标签,可将页面指向其个人资料页面。此页面,profile.php,获取从A HREF的相关信息,如禁止用户更改我的主页中的HTML页面
<a href= "profile.php?name=james stone">
然而,这个网址URL中显示出来,这样如果用户更改URL的“名”一部分,说“ABC “,该网站试图找到一个名字为abc的人。总之,该网站试图显示不存在的人“abc”,这会导致很多错误。我如何禁用用户更改网址?
对不起,您无法控制用户在HTML源代码中可以更改的内容。
您的管理不存在的URL的方法是错误的。
相反,如果用户不存在并且显示“用户不存在”,则应该创建一个错误页面。
你不能。抓住错误并向用户显示错误页面»请求的用户不存在。始终以防守编码。
以及可以附加名称的一些编码格式与
所以,如果有人试图更改名字,他永远不会找到它
n您只需要检查你的页面没有多余的按键编码的关键从数据库中需要的工作
例如。 “profile.php?NAME =詹姆斯&键= asdkasndka”
关键可能是MD5或“名称”
你还有如果用户不存在处理错误的MD5的一些子。因为用户可以随时从url(这是一种更常见的情况)更改用户名,即使他们没有从html源更改。
有时候用户可以被删除,但是人们会在浏览器历史记录中记住他们的个人资料页面,或者存储在某处作为快捷方式。所以无论如何,会有很多用户转到不存在的用户配置文件的情况,并且尽管出现了错误的数量,您仍然需要处理它。
听起来像安全通过默默无闻... – knittl 2012-01-28 14:03:17
雅是编码可以做的很复杂..... – 2012-01-28 14:07:56
仍然问题仍然存在,用户可以操纵的URL。问题是如何防止这种操纵。 – Apurv 2012-01-28 17:29:15