如何防止更新其他数据库记录?

时间:2012-05-30 20:01:42

标签: php database security

我有一个表从phpMyAdmin读取所有数据库并通过php代码进行演示。 - 我也可以更新表格上的每个单元格,例如,使用表格中与我的数据库中的ID相等的行,以及等于(名字,姓氏,密码)外部工作的colume。 因此,如果用户单击表中的一个单元格,则jquery通过ajax发送参数ID和字段(名字,姓氏,密码)的colume。 我的问题是什么? 我的问题是如何防止黑客或智能用户可以看到jquery代码,他会 了解他可以更改任何ID或密码参数和ajax的值可以更新数据库而不是正确的ID? supose I显示到用户表,其中10行ID为11-20,用户将更改ID参数ID等于500可以挂起。

$(document).ready(function()
{
    var COLUME, VAL,ROW,STATUS,DATASTRING;

    $('td').click(function() {
        COLUME = $(this).attr('class');   
      });
//****************
    $('tr').click(function() {
        ROW = $(this).attr('id');
        $('#display_Colume_Raw').html(COLUME+ROW);
        //$('#display').html(COLUME+ROW);
        $('#span' + COLUME + ROW).hide();
        $('#input'+ COLUME + ROW ).show();
      STATUS = $("#input" + COLUME + ROW).val();
    });
  //******************** 
    $(".edittd").mouseup(function() {
        return false;
    });
  //*************
    $(document).mouseup(function() {
        $('#span' + COLUME + ROW).show();
        $('#input'+ COLUME + ROW ).hide();
        VAL = $("#input" + COLUME + ROW).val();
        $("#span" + COLUME + ROW).html(VAL);
          if(STATUS != VAL){
          $('#statuS').removeClass('statuSnoChange')
            .addClass('statuSChange');
             $('#statuS').html('THERE IS CHANGE');
             DATASTRING=$('#display_Colume_Raw').html()+','+VAL;
            //******ajax code
                 //dataString = $.trim(this.value);
                      $.ajax({
                        type: "POST",
                         dataType: 'html',
                         url: "./public/php/ajax.php",
                         data: 'DATASTRING=' + DATASTRING, //{"dataString": dataString}
                             cache: false,
                             success: function(data)
                             {
                                //alert(data);
                                $("#statuS").html(data);
                                }
                             });
                      //******end ajax
                 }
                 else
                 {
                 //alert(DATASTRING+'status not true');
                 }

        });       
    });

enter image description here

2 个答案:

答案 0 :(得分:0)

没有必要显示前端代码,因为这是您在后端实现的。

在通过AJAX调用的方法中,只需检查用户是否有权执行请求的操作。您可以在方法顶部单独检查,如果不允许用户则返回,或者您可以将其构建到删除查询本身,例如,通过添加WHERE子句,确保这些ID是用户是允许删除。

答案 1 :(得分:0)

您不能在MySQL中分配每行权限,以便用户可以查看/编辑行A,但行B不能。

如果您绝对 拥有解决方案,那么有一种解决方法会有点麻烦,那就是不使用对表的直接查询(SELECT,INSERT等),编写执行某种身份验证和/或验证的存储过程。该过程可以执行您想要的任何类型的复杂验证 - 检查用户ID,检查列值等 - 并仅返回该用户有权查看和/或编辑的内容。