【发布时间】:2013-06-21 11:57:49
【问题描述】:
我有一个表格:
<input type="text" value="3X732" readonly/>
好吧,用户可以使用程序编辑输入值,然后破坏系统。
如何防止这种情况发生?我可以使用任何东西,脚本除外。
值是动态的,所以我不能做类似 $code = "3X732";
【问题讨论】:
-
如果您的系统依赖于输入字段,我认为它存在严重的安全问题,请不要相信客户端
【发布时间】:2013-06-21 11:57:49
【问题描述】:
你应该使用 $_SESSION 来传递重要数据而不是 html,永远不要相信用户。
【讨论】:
加密值并将加密值保存在表单的隐藏字段中。 提交表单后,对文本字段的值运行相同的算法,并将其与加密值进行比较。他们应该匹配,否则它已经被摆弄了......
【讨论】: