私はウェブサイトを設計しており、URLを通じて2つのIDを渡してGETを使用していますが、誰でもURLのIDの値を変更してページの内容を変更できることに気付きました。これを防ぐために、とにかく、コードはデータベースの変数トラフのURLをどのように安全に渡す
www.site.com/main.php?user1_id=6&user2_id=10
に誰でも変更した場合は、別の詳細はseen..Thanks
私はウェブサイトを設計しており、URLを通じて2つのIDを渡してGETを使用していますが、誰でもURLのIDの値を変更してページの内容を変更できることに気付きました。これを防ぐために、とにかく、コードはデータベースの変数トラフのURLをどのように安全に渡す
www.site.com/main.php?user1_id=6&user2_id=10
に誰でも変更した場合は、別の詳細はseen..Thanks
が制御を実装することを意味するものではない示し
www. site.com/main.php?user1_id=4&user2_id=7
のように... ありますサーバー側で、リソースを要求しているユーザーがアクセス権を持っているかどうかを確認します。誰でも簡単にクライアント側で何かを変更することができます。これはサーバーから制御する必要があります。
Okk..Thanksあなたの反応をたくさん...本当に誰もがクライアント側で何かを変えることができます – dcoder
「get」の代わりに「post」を使用 – Jens
いいえ、これを停止する方法はありません。 POSTの場合でも、送信前にデータを変更することができます。入力内容を検証し、要求した内容に対するアクセス権を確認する必要があります。 –
詳細を見ることを許可されているユーザーと、詳細を見ることができないユーザー(またはゲスト)がいますか?少なくとも、最小限の権利と特権システムをコーディングせずにこれを行うことはできません。 –