0

我是基于 ASP 的 Web 系统的测试人员。

有一个用户用来购买商品的页面。在确认过程中,我注意到总付款(用户必须支付的总金额)存储在隐藏的输入字段中,假设是 10.000 美元。任何人都可以很容易地将此​​值更改为 1 甚至 0 并完成付款。

我可以知道我应该使用什么策略来克服这个问题吗?程序员如何执行这种验证?

4

1 回答 1

1

如果是 asp.net,开发人员可以将其存储在 ViewState 中,或者只创建一个变量来将数据存储在代码隐藏中。

如果它是经典的 asp,那么开发人员可以使用 Request.Form 传递该变量,或者将其发布到下一页以完成订单或将数据存储在会话中。

于 2012-07-25T07:42:52.220 回答