我正在尝试编写一个应用程序,它基本上是编辑数据库记录的前端。我听说,确保数据库中正确行被更新的一种方法是在更新表单上包含一个隐藏的表单字段,其中包含行唯一ID,并使用它向后端更新语句添加一个条件。
然而,这似乎不安全。任何人都可以在提交前编辑页面上的HTML并更改正在更新的记录,不是吗?传递用户正在编辑的行的唯一ID的正确方法是什么?我想这可以通过cookie/会话跟踪来完成,但这不能在提交之前在客户端进行编辑吗?
谢谢!
如果允许客户端修改有问题的记录,那么无论他是通过修改隐藏字段中的id还是转到正确的页面并从那里提交表单,都无关紧要。
当任何客户端提交任何表单时,服务器需要a)确保客户端有权修改他试图修改的记录,b)验证提交的数据是否可用于记录。然后,无论用户是否使用了正确的表单,您的所有业务规则都会得到保护和照顾。
您还可以在会话服务器端保存所有隐藏字段的哈希,并在提交时进行检查,以捕获隐藏字段操作尝试(如果您仍然感兴趣的话)。
您可以创建一个默认值为TIMESTAMP的字段。
您还可以使用php会话将这些数据从一个页面传递到另一个页面
更多详细信息点击此处
希望这能有所帮助…:)
加载表单页面时,可以根据需要将id存储在会话中。当他们提交时,在帖子页面上,从会话中获取id。
不安全的部分是,你如何让人们决定要编辑哪个id?这方面的投入在哪里?