我是基于ASP的网络系统的测试人员。
有一个页面供用户用来购买物品。在确认期间,我注意到总付款(用户必须支付的总金额)存储在隐藏的输入字段中,比如它的10.000美元。任何人都可以很容易地将此值更改为1或甚至0并完成付款。
我可以知道应采用什么策略来解决这个问题吗?程序员如何进行这种验证呢?
答案 0 :(得分:1)
如果是asp.net,开发人员可以将其存储在ViewState中,或者只创建一个变量来将数据存储在代码隐藏中。
如果是经典的asp,那么开发人员可以使用Request.Form传递该变量,或者将其发布到下一页以完成订单或者将数据存储在会话中。