我的网站用于管理客户帐户。如果我通过网站访问CustomerA的帐户,然后打开一个新选项卡并访问CustomerB的帐户,持有客户ID更新的会话认为我现在正在使用CustomerB。然后,如果我点击返回CustomerA的标签并开始编辑该页面,我实际上正在编辑CustomerB的数据库记录。这已经发生并引发了各种各样的问题所以我需要找到一种傻瓜式的方法来阻止它。我不想将客户ID放在URL中,因为这会使其被滥用。
答案 0 :(得分:0)
会话不是一个容纳这样的信息的地方,因为你所描述的问题。您需要将客户ID与页面本身一起传递(在隐藏字段或URL中),因此当您回发表单时,它确切地知道您要执行的操作。 Session不会保护您,也不会添加任何额外的安全性。您需要确定用户是否具有正确的权限,因此您应该关注这方面。