2010-05-21 119 views
0

我有一個編輯頁面,查看URL中的record_id's ..我不希望用戶看到任何記錄ID,這樣他們就無法用另一個記錄替換它並編輯另一個記錄....簡單的mod_rewrite規則.....?

不管怎麼說,我的網址是這樣的:

http://www.mywebsite.com/folder/folder_detail_edit.php?recordID=3980 

我想它只是顯示:

http://www.mywebsite.com/folder/folder_detail_edit.php 

這可能不管的recordId的???

+0

但是,那麼你怎麼知道recordID應該是什麼?如果你不想讓別人編輯另一個ID,你應該進行某種認證。 – 2010-05-21 04:00:59

+0

要知道,無論您使用URL,無論使用哪種HTTP方法或任何您使用的方法,用戶總是可以(甚至容易)將記錄ID替換爲另一個。因此,您__必須在服務器上進行某種身份驗證,以檢查是否允許用戶編輯該記錄。 – 2010-05-21 04:15:51

+0

您不應該依賴隱藏ID作爲安全機制。您的服務器端代碼應該將ID與登錄用戶進行比較,以確保他們具有訪問該記錄的正確權限。 – 2010-05-21 04:16:11

回答

0

您應該使用http post方法將此數據發送到服務器,這樣,它將不會在url中可見。
看看here

+1

這不會阻止他們取代它,很容易繞過。 – 2010-05-21 04:11:35

0

的中心問題是不是該記錄ID是可見的,所以可以更換,但您的應用程序允許用戶修改的所有記錄。這是一個授權問題。並且隱藏ID不能解決這個問題,因爲記錄必須以某種方式被識別。

您應該更好地實施一些授權機制,以便您的用戶只能訪問和修改它們被允許的記錄。

+0

很棒的反饋。我將啓動註冊模塊! – eberswine 2010-05-21 19:42:52