[問題] post & get

看板Web_Design作者 (阿U)時間11年前 (2013/02/02 14:31), 編輯推噓3(307)
留言10則, 6人參與, 最新討論串1/1
我想問一下大家是如何設計有關修改或刪除的頁面 以往我個人交作業為求方便是直接 <a href="edit.php?id=123">修改</a> 現在正式的系統用GET這樣做應該很快就被攻擊了 可是POST是否就要做成form 然後把連結變成submit這樣呢? 感覺有點費力 請問大家是如何設計的呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 1.168.207.246
02/02 14:41, , 1F
你寫的是正確的, 編輯某筆資料透過GET丟主鍵過去很常見
02/02 14:41, 1F
如果是稍微懂點網頁的在編輯時改一下GET的主鍵就可以跳到別筆資料 EX.使用者只可以編輯自己的發文 請問要如何防止呢? 還是要再送出時直接在目標頁面確認是否權限相符? ※ 編輯: sing10407 來自: 1.168.207.246 (02/02 14:44)
02/02 14:42, , 2F
記得拿 id 去查資料庫時處理好 SQL injection 就可以了
02/02 14:42, 2F
02/02 14:45, , 3F
"使用者只可以編輯自己的發文" 這個程式邏輯當然要自己實作啊
02/02 14:45, 3F
好 謝謝 ※ 編輯: sing10407 來自: 1.168.207.246 (02/02 14:46)
02/02 14:46, , 4F
權限控管當然在server端要作,就算是post也一樣要檢查
02/02 14:46, 4F
02/02 14:46, , 5F
下 SQL 撈文章時也要加上作者是當下登入使用者的篩選
02/02 14:46, 5F
02/02 15:54, , 6F
用post傳我一樣改給妳看.....
02/02 15:54, 6F
02/02 15:54, , 7F
最根本的解決方式,還是要從SERVER端去檢查
02/02 15:54, 7F
02/02 17:13, , 8F
post好處是用ssl會加密 get不會
02/02 17:13, 8F
02/02 17:57, , 9F
就登入綁session啊..
02/02 17:57, 9F
02/02 21:04, , 10F
搜尋csrf防範 跟 xss防護
02/02 21:04, 10F
更多 sing10407 的文章
文章代碼(AID): #1H3BAded (Web_Design)