PHP如何保护数据库中的信息

时间:2014-07-28 08:29:37

标签: php mysql

我试图找出如何防止访问其他人的信息。

我的意思是我有一个可以编辑的表单。

当人们点击“编辑”按钮时,他会立即重定向到下一页:

bla-bla-bla/edit.php&id=1337

问题是,我可以进入地址栏并将&id=1337添加到&id=143&id=1943,然后仍然可以访问其他人的数据。

这是显示和编辑的原始代码:

对不起我的英文,并提前感谢你。

2 个答案:

答案 0 :(得分:0)

也许你应该将会话var放在字符串之外; e.g:

变化:

$order = "SELECT * FROM table_name WHERE id = '$id' && owner = '$_SESSION['user']['username']' "

有:

$order = "SELECT * FROM table_name WHERE id = '$id' AND owner = '".$_SESSION['user']['username']."' "

答案 1 :(得分:0)

如果您尝试只为当前用户编辑网页,您甚至可以取消网址中的整个ID。

更改您的页面,以便检查您是否已登录(使用$_SESSION变量)。如果已登录,请检索并稍后根据$_SESSION['UserID']和其他$_SESSION变量的组合保存数据,以确保此人是他们所声称的人。

您不需要以这种方式在网址中添加?id=123