PHP - 防止 F12 提交黑客攻击
PHP - Prevent F12 submit hacking
我正在开发一个 PHP 网络应用程序,其中包含用于创建、修改和删除的用户配置文件(你知道的)
当我修改个人资料时,我将 $userID 发送到 PHP 页面,然后加载所有用户数据。 $userID 存储在隐藏输入中,因为我需要它在提交后启动更新查询。
我注意到用户可以按 F12 并将该用户 ID 更改为另一个,并且可以修改(或删除)其他用户配置文件。
对不起,如果是一个愚蠢的问题,我想这是表单提交中的一个常见问题,但我不知道你是如何面对它的(在这种情况下最安全的策略是什么)。
请帮忙:-)
你不应该暴露一个敏感的 ID/data。
没有 "security" 练习这样做。
您应该按照@cmrrissey 的建议使用会话变量
@session_start(); #at before any outputscript
$_SESSION['userID'] = $senstiveId;
此外,您不应依赖前端验证。
你 必须 re-check/validate 在你的服务器上,你的最终用户发送给你的是什么。
我正在开发一个 PHP 网络应用程序,其中包含用于创建、修改和删除的用户配置文件(你知道的)
当我修改个人资料时,我将 $userID 发送到 PHP 页面,然后加载所有用户数据。 $userID 存储在隐藏输入中,因为我需要它在提交后启动更新查询。
我注意到用户可以按 F12 并将该用户 ID 更改为另一个,并且可以修改(或删除)其他用户配置文件。
对不起,如果是一个愚蠢的问题,我想这是表单提交中的一个常见问题,但我不知道你是如何面对它的(在这种情况下最安全的策略是什么)。
请帮忙:-)
你不应该暴露一个敏感的 ID/data。 没有 "security" 练习这样做。
您应该按照@cmrrissey 的建议使用会话变量
@session_start(); #at before any outputscript
$_SESSION['userID'] = $senstiveId;
此外,您不应依赖前端验证。 你 必须 re-check/validate 在你的服务器上,你的最终用户发送给你的是什么。