0

我需要提高我的应用程序的速度,但我还必须注意安全性。首先我将解释应用程序的作用:
当用户在应用程序中注册时,他选择学校,在数据库的用户配置文件中我存储这所学校的 ID。
每个学校都有自己的页面,如果用户来自该学校,他可以在该学校页面上做一些事情,写评论添加图片等。
用户也可以访问其他学校页面,但他不能写评论和添加图片。
目前我保持CurrentSchoolIDViewBag's.
我想知道存储CurrentSchoolID在cookie中是否更好。
是否有可能某些邪恶的用户使用此 cookie 来损害应用程序?
对于应用程序用户必须启用 cookie。

4

1 回答 1

1

如果不允许用户编辑除他们之外的其他学校,则不能指望 cookie 中的 ID 是真实的。

从理论上讲,您可以做的是确实将学校 ID 保存在 cookie 中,并且在每次写入/更新/删除操作时,检查(当然在服务器上)登录用户是否有资格更改与该学校 ID 相关的数据.

但实际上,学校ID是不必要的。更好的是 - 在服务器端检查允许该用户编辑哪个学校,并且仅当用户编辑该学校的数据之一时才允许编辑操作。

于 2012-04-29T15:39:14.327 回答