我试图找出如何防止访问其他人的信息。
我的意思是我有一个可以编辑的表单。
当人们点击“编辑”按钮时,他会立即重定向到下一页:
bla-bla-bla/edit.php&id=1337
问题是,我可以进入地址栏并将&id=1337
添加到&id=143
或&id=1943
,然后仍然可以访问其他人的数据。
这是显示和编辑的原始代码:
对不起我的英文,并提前感谢你。
答案 0 :(得分:0)
也许你应该将会话var放在字符串之外; e.g:
变化:
$order = "SELECT * FROM table_name WHERE id = '$id' && owner = '$_SESSION['user']['username']' "
有:
$order = "SELECT * FROM table_name WHERE id = '$id' AND owner = '".$_SESSION['user']['username']."' "
答案 1 :(得分:0)
如果您尝试只为当前用户编辑网页,您甚至可以取消网址中的整个ID。
更改您的页面,以便检查您是否已登录(使用$_SESSION
变量)。如果已登录,请检索并稍后根据$_SESSION['UserID']
和其他$_SESSION
变量的组合保存数据,以确保此人是他们所声称的人。
您不需要以这种方式在网址中添加?id=123
。