我也是新的magento。我在为可下载产品创建激活密钥时遇到了一个问题。我在我的产品页面中隐藏了我的文本字段。但是黑客,如果他们使用萤火虫,那么他们很容易改变文本值并将其存储在数据库中。任何人都可以帮助我吗?
谢谢
问问题
56 次
1 回答
1
您永远不应该依赖隐藏字段来确保安全。如果此密钥是秘密的,则永远不要将其发送到用户浏览器,请将其保存在后端。
切勿在未先清理数据库的情况下将用户输入存储在数据库中。
始终将您的用户视为黑客。我建议你在这里阅读更多信息:http: //owasp.com/index.php/Main_Page
PS:如果我可以补充,Firebug 与该问题无关。有无数的工具可以做到这一点。例如。所有浏览器都允许您查看源代码,因此隐藏字段实际上对任何用户都是可见的。大多数现代工具都包含开发人员工具,例如。IE 中的 f12。
于 2012-07-16T14:07:56.400 回答