3

请帮助解决这样一个问题,不要严格判断,因为我是 MVC 的新手:我有一个模型,用于在我的数据库中按 ID 存储用户名

public class Names
    {
public int NameId { get; set; }
public string Username { get; set; }
}

, 一个控制器

[HttpPost]
        public ActionResult EditforModel(Names Name)
        {
            if (ModelState.IsValid)
            {
                db.Entry(Name).State = EntityState.Modified;
                db.SaveChanges();
                return RedirectToAction("Index");
            }
            return View(Name);
        }

添加和编辑视图添加效果很好,问题是关于我使用的编辑

    @using (Html.BeginForm())
    {
        @Html.ValidationSummary(true)
        <fieldset>
        <legend> legend </legend>
        @Html.EditorForModel()
        <p>
                <input type="submit" value="Save" />
            </p>
    </fieldset>
    }

<div>
    @Html.ActionLink("Back to List", "Index")
</div>

编辑我的模型。当试图转到这个视图时,我看到了一个 ID 和用户名的编辑器,但是如果我填写 ID - 我有错误,因为在 DB 中没有具有此类 ID 的条目。好的。让我们寻找隐藏编辑器的属性。[ScaffoldColumn(false)] 类似于标记是否为 Id 呈现编辑器。将它应用到我的模型中,我的视图中发布了“0”id。尝试另一个 attr。[ReadOnly(true)] 使字段成为只读字段。但与此同时,我在发布 ID 时得到了“0”。修改视图我为模型中的每个字段放置了一个编辑器

@Html.HiddenFor(model => model.NameId)
@Html.EditorFor(model => model.Username)

但是使用它是危险的,因为一些用户可以通过 post-request 发布错误的 Id。

我不能使用 [ScaffoldColumn(false)] 在控制器的 [Httppost] 操作中应用 Id,通过在 DB 中搜索适当的用户条目,因为名称已更改。我不敢相信 @Html.HiddenFor 是唯一的出路。但找不到一个:(

4

1 回答 1

5

正如您提到的“[ScaffoldColumn(false)] 类似于标记是否为 Id 呈现编辑器”,并且 [ReadOnly(true)] 意味着在绑定模型时,默认模型绑定器将排除此属性。

问题在于 HTTP 协议是无状态协议,这意味着当用户将编辑表单发布到 MVC 控制器时,该控制器不知道他正在编辑哪个对象,除非您在收到的请求中包含一些标识符到您的对象中来自用户,但由于您提到的原因(有人可以发布另一个 ID),包含真实对象 ID 并不是一个好主意。

一种可能的解决方案可能是将带有加密 Id 的 View Model 发送到 View,并在控制器中解密此 Id。

您的对象的视图模型可能如下所示:

public class UserViewModel
{
    [HiddenInput(DisplayValue = false)]
    public string EncryptedId { get; set; }
    public string Username { get; set; }
}

所以你的 HttpGet 操作方法将是

    [HttpGet]
    public ActionResult EditforModel()
    {
        // fetching the real object "user"
        ...

        var userView = new UserViewModel
        {
            // passing the encrypted Id to the ViewModel object
            EncryptedId = new SimpleAES().EncryptToString(user.NameId.ToString()),
            Username = user.Username
        };

        // passing the ViewModel object to the View
        return View(userView);
    }

不要忘记将 View 的模型更改为 ViewModel

@model UserViewModel

现在 HttpPost 操作方法将接收 UserViewModel

    [HttpPost]
    public ActionResult EditforModel(UserViewModel Name)
    {
        if (ModelState.IsValid)
        {
            try
            {
                var strId = new SimpleAES().DecryptString(Name.EncryptedId);
                var id = int.Parse(strId);
                // select the real object using the decrypted Id
                var user = ...Single(p => p.NameId == id);
                // update the value from the ViewModel
                user.Username = Name.Username;
                db.Entry(user).State = EntityState.Modified;
            }
            catch (CryptographicException)
            {
                // handle the case where the encrypted key has been changed
                return View("Error");
            }

            db.SaveChanges();
            return RedirectToAction("Index");
        }
        return View(Name);
    }

当用户尝试更改加密密钥时,解密将失败并抛出 CryptographicException,您可以在 catch 块中处理它。

您可以在此处找到 SimpleAES 加密类(不要忘记修复 Key 和 Vector 数组的值): Simple insecure two-way "obfuscation" for C#

PS:此答案基于 Henry Mori 的以下答案: Asp.net MVC 3 Encrypt Hidden Values

于 2013-12-05T13:33:25.593 回答