我正在开发一个 PHP Web 应用程序,它有用户配置文件来创建、修改和删除(你知道)
当我修改个人资料时,我将 $userID 发送到 PHP 页面,然后加载所有用户数据。该 $userID 存储在隐藏输入中,因为我需要它在提交后启动 UPDATE 查询。
我注意到用户可以按 F12 并将该用户 ID 更改为另一个用户 ID,并且可以修改(或删除)其他用户个人资料。
抱歉,这是一个愚蠢的问题,我认为这是表单提交中的常见问题,但我不知道您如何面对它(在这种情况下最安全的策略是什么)。
请帮忙:-)
最佳答案
您不应公开敏感 ID/数据。 没有“安全”实践这样做。
您应该使用 session 变量,如 @cmrrissey 建议
@session_start(); #at 在任何输出脚本之前
$_SESSION['userID'] = $senstiveId;
此外,您不应依赖前端验证。 您必须在您的服务器上重新检查/验证您的最终用户发送给您的内容。
关于PHP - 防止 F12 提交黑客攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32256694/