我太新了magento。我有一个问题是为可下载产品创建激活密钥。我将文本字段隐藏在产品页面中。但黑客,如果他们使用firebug,那么他们很容易改变文本值,它将存储在数据库中。任何人都可以帮助我吗?
由于
答案 0 :(得分:1)
您永远不应该依赖隐藏字段来提高安全性。如果此密钥是秘密的,则不应将其发送到用户浏览器,将其保留在后端。
永远不要将用户输入存储在数据库中而不先清除它。
始终将您的用户视为黑客。我建议你在这里阅读更多信息: http://owasp.com/index.php/Main_Page
PS:如果我可以添加,Firebug与此问题无关。有无数的工具可以做到这一点。例如。所有浏览器都允许您查看源,因此隐藏字段实际上对任何用户都可见。大多数现代版本都包含了开发人员工具,例如。 IE中的f12。