1

在站点中,当用户编辑自己的信息时,我会做hidden他的 ID。但是,我在这个链接中看到它是有风险的:恶意黑客可以更改隐藏的. 第二种方式,我认为将当前登录用户的 ID 保存在 cookie 中。任何人都可以更改 cookie 中的 ID 值并编辑其他用户的信息吗?

如果是的话,你能告诉我什么方法?

4

1 回答 1

1

您每次都必须使用您的身份验证机制。如果您已正确实现它并且始终从那里检索用户 ID 而不是发布的表单值,您不必担心它。

大多数网站都使用表单身份验证,并且一些 ASP.NET MVC 项目模板带有现成的实现。如果您不需要自定义实现,那么使用它们会更安全。

于 2013-02-11T13:13:55.057 回答