我必須在AdminUsers.aspx頁面中使用UserId(以管理用戶激活和解鎖帳戶)。我已經計劃將UserId保存爲gridview DataKey。 但問題是,我不知道userId是否可以保存在視圖狀態並暴露給用戶。 UserId有沒有任何安全問題?UserId和UserName
感謝名單
我必須在AdminUsers.aspx頁面中使用UserId(以管理用戶激活和解鎖帳戶)。我已經計劃將UserId保存爲gridview DataKey。 但問題是,我不知道userId是否可以保存在視圖狀態並暴露給用戶。 UserId有沒有任何安全問題?UserId和UserName
感謝名單
這聽起來像UserID只是你的用戶表的主鍵。因此,我沒有看到任何安全問題。內部主鍵的知識不應該有助於未經授權的訪問。
很多數據庫使用Identity(int)主鍵。如果系統的設計可以通過主鍵完成,那麼惡意用戶可能會繼續嘗試數字。
編輯:只是意識到這是標記爲asp.net-membership,所以我認爲UserID是成員使用的GUID。我仍然不認爲這是一個安全問題。這只是一個主鍵。
如果使用HttpContext.Current.User.Identity.Name,則幾乎沒有安全風險,因爲每個用戶都有自己的會話。
您可以用加密格式將用戶ID保存在數據庫中。現在在gridview中你可以有一個隱藏的標籤。編輯一個特定的行,你可以訪問隱藏的用戶ID,並最終解密....
不,我想在GridView中列出所有用戶,所以管理員可以管理它們,而不僅僅是當前登錄的用戶 – 2012-02-13 14:39:03
現在檢查答案。希望這可以幫助... – Pankaj 2012-02-13 14:53:51