将 ID 传递给视图,如何避免可能的操作?
Passing IDs to views, how to avoid possible manipulations?
我想让管理员用户将用户附加到组,所以我将用户 ID 和他们的名字作为数组 {id:, name:} 传递,管理员将能够通过 [=19 将用户附加到编辑的组=]& javascript 基于浏览器的界面。
那么,如果管理员更改了用户数组,并在将附加用户发布到服务器之前设置了不同的 ID,会怎样?在这种情况下,管理员可能能够将被黑的 ID 分配给服务器。结果,意外的用户将被附加到该组。
另一种可能性,当管理员为它自己的组发送一个被黑的 ID!
在这种情况下推荐的方法是什么?这种情况在网络开发中多久处理一次?
与往常一样,您需要验证用户输入。
- 请求是否来自管理员? (即他们是否正确验证?)
- 请求中的id是真实的吗?
- 他们是否有权更改 ID 在请求中的用户的详细信息?
- 他们有权更改组吗?
等等
我想让管理员用户将用户附加到组,所以我将用户 ID 和他们的名字作为数组 {id:, name:} 传递,管理员将能够通过 [=19 将用户附加到编辑的组=]& javascript 基于浏览器的界面。
那么,如果管理员更改了用户数组,并在将附加用户发布到服务器之前设置了不同的 ID,会怎样?在这种情况下,管理员可能能够将被黑的 ID 分配给服务器。结果,意外的用户将被附加到该组。
另一种可能性,当管理员为它自己的组发送一个被黑的 ID!
在这种情况下推荐的方法是什么?这种情况在网络开发中多久处理一次?
与往常一样,您需要验证用户输入。
- 请求是否来自管理员? (即他们是否正确验证?)
- 请求中的id是真实的吗?
- 他们是否有权更改 ID 在请求中的用户的详细信息?
- 他们有权更改组吗?
等等