我有一個編輯頁面,查看URL中的record_id's ..我不希望用戶看到任何記錄ID,這樣他們就無法用另一個記錄替換它並編輯另一個記錄....簡單的mod_rewrite規則.....?
不管怎麼說,我的網址是這樣的:
http://www.mywebsite.com/folder/folder_detail_edit.php?recordID=3980
我想它只是顯示:
http://www.mywebsite.com/folder/folder_detail_edit.php
這可能不管的recordId的???
但是,那麼你怎麼知道recordID應該是什麼?如果你不想讓別人編輯另一個ID,你應該進行某種認證。 – 2010-05-21 04:00:59
要知道,無論您使用URL,無論使用哪種HTTP方法或任何您使用的方法,用戶總是可以(甚至容易)將記錄ID替換爲另一個。因此,您__必須在服務器上進行某種身份驗證,以檢查是否允許用戶編輯該記錄。 – 2010-05-21 04:15:51
您不應該依賴隱藏ID作爲安全機制。您的服務器端代碼應該將ID與登錄用戶進行比較,以確保他們具有訪問該記錄的正確權限。 – 2010-05-21 04:16:11