我有一个javascript,可以使用createElement动态创建表单元素。其中一个元素是默认情况下禁用的简单输入表单框。下面我有代码将运行项目(这是一个计数器,它计算我每行创建的表单元素的行数(我创建4个表单元素,数量,描述,价格,折扣))。
function enablediscount(){
for (x = 1 ; x <= items; x++){
var discount = document.getElementById("discount"+x)
discount.disabled=false;
}
}
现在,我想在检查mysql表中的用户和密码时运行上面的代码。 (基本上是经理)
基本上,我想要一个小的弹出窗口,它会要求管理员的用户名和密码来启用折扣字段,以便用户(在这种情况下,收银员)可以输入折扣
有什么想法吗?
答案 0 :(得分:3)
一个老练的黑客能够查看你的源代码并简单地手动输入折扣值,例如,输入javascript:document.getElementById(“discount1”)。value = 500;在他们的地址栏。
您需要做的是让他们在到达此页面时已经登录,或者让他们登录,然后在步骤2中应用他们可用的任何折扣。
您建议的当前方式很容易被绕过。任何身份验证和授权都需要在服务器端完成。