我有帖子,用户可以删除或编辑它们。当我重定向他们时,我发送的是带有身份证号码的网址,例如:test.dev/delete/15,其中15是我应该删除的帖子ID。然后我测试了在路由中发送id route('delete',['id' => $post->id])。最后,我意识到这两种方法都包含url中的ID号。我的意思是,对于网址,它显示网址 test.dev/delete/15,对于路由,它会显示test.dev/delete?id=15
所以我想知道我们是否可以发送id,而不是在url中显示它们,我担心好奇用户可能会尝试使用这些漏洞
答案 0 :(得分:1)
您必须始终在页面上的某处显示 ID ,才能通过网址隐藏字段或 ID 发送 id 所有用户都可以更改。这就是为什么你应该检查后端,如果用户有权删除该帖子