我正在使用php从数据库中查询数据构建html表。我还需要对该表执行编辑,删除操作。我救了 数据库行ID 作为每个表行中的隐藏输入字段。
我正在做的是当用户点击特定行时,我使用jquery获取行id并对数据库表执行编辑/删除操作 使用ajax,php
但问题在于,当用户检查元素时,他可以看到每行的ID。因此,如果用户是技术专家,他可以编辑行ID并更改 数据库表中其他行的值。
一般来说,如何在不填充表格中的数据库行ID的情况下处理这种情况。
答案 0 :(得分:1)
如果用户是那种查看检查器并操纵隐藏信息的专家,并且这是必须严格无法更改的内容,您可以发送guid或一些自定义后端函数来加密/解密信息来自用户表..
答案 1 :(得分:1)
填充行ID是正确的,但是如果用户可以更改某些记录的值而不是其他记录的值,那么正确的解决方案是检查服务器端,如果用户具有编辑当前尝试的行的权限修改
答案 2 :(得分:1)
您可以从该行的任何单元格中获取更多信息。 您将id保存在隐藏的输入中,然后使用jquery任意单元格,如果数据单元格和ID在数据库中不相同,如果有关系则不执行任何操作,然后删除。 希望它会有用
答案 3 :(得分:0)
为了更高的安全性,您必须创建每行的哈希值并发送到ajax页面并验证哈希值。因为它是单向加密,所以你对每一行的哈希是唯一的..
以下是我对你说的话
https://www.owasp.org/index.php/How_to_protect_sensitive_data_in_URL的