我有一个简单的表单,其中包含三个输入字段,用于将邮件发布到特定组:
使用Ajax完成提交并发送输入文本和隐藏字段
我做什么: 验证用户发送的文本。 我检查令牌是否与为该表单创建的会话令牌匹配。
问题: 用户可以更改隐藏的ID(组ID),并且帖子将插入到错误的组中。
我可以删除隐藏ID 并从会话中获取组ID 。但我不确定这是否安全
答案 0 :(得分:2)
是的,是安全的,会话变量驻留在服务器上而不是客户端。但是,如果用户可以在某个组下,则可以在提交时在数据库中查询或查找,而不是将其保存在会话中。如果您有其他用户可以访问并更改其组的表单或页面,则会话中的组ID将无效。