如何合理地设计这个数据库,希望讨论。
这是建表的所有字段,看看大家设计数据库的功力如何?用多少表,...
交流
讨论:安全方面的问题,能解决吗?
作者 books 发布于 0000-00-00 分类:php基础编程
用$_SERVER["HTTP_ACCEPT_LANGUAGE"]来限制用户进行非法提交操作,可是手册上说这个值是可以修改的。
那么如何防止用户提交非法数据。
比如以简单的例子来说,在windows 98下,用IE4
当用户登录某个系统以后,进入删除一条数据的页面,
用户先选择一个单选按钮(某个ID值),点确定提交。
如果在提交之前,用户查看原代码,把该单选按钮对应的ID值改了,比如改成了一个他本来不可能访问到的ID值,然后保存,点后退再点前进,再点提交,这时提交的ID就是改动后的。
如何防止这种非法操作?
难道非要在数据库的表的记录级进行权限控制?但是数据库用户和B/S系统的用户完全是两码事!
哪位高手能替我解惑?
逛论坛交流:安全方面的问题,能解决吗?
没看懂 发表人 tmyu 发表于 12月02日
晕啊,就是防止用户改数据啊! 发表人 books 发表于 12月02日
一般都是在删除操作前对用户权限进行判.. 发表人 Oct 发表于 12月02日
在用户插如数据前,判断他是否有更改该.. 发表人 armsun.net 发表于 12月02日
一个大的系统中有大量的模块,象你说的.. 发表人 books 发表于 12月02日
QUOTE: 最初由 books 发布
[.. 发表人 Oct 发表于 12月02日
昏,你还能通过函数挨个全判断出来,
.. 发表人 books 发表于 12月02日
你说的是HTTP_REFERER吧
还有个问.. 发表人 Loading 发表于 12月02日
没有的了 这个我感觉没有必要
我感觉.. 发表人 yuguanglou 发表于 12月02日
-
没看懂
-
晕啊,就是防止用户改数据啊!
-
一般都是在删除操作前对用户权限进行判断呀
-
在用户插如数据前,判断他是否有更改该条记录的权限。
-
一个大的系统中有大量的模块,象你说的这种是比较简单的实现方法,实际上也就是起了记录级权限判断的效果,但是其他大量模块不可能每个都这么容易实现,有的简直无法实现
比如我先选一大堆ID出来,然后要把这一大堆ID有选择的插入到某些表,Y怎么判断这些,唉! -
QUOTE: 最初由 books 发布
[B]一个大的系统中有大量的模块,象你说的这种是比较简单的实现方法,实际上也就是起了记录级权限判断的效果,但是其他大量模块不可能每个都这么容易实现,有的简直无法实现
比如我先选一大堆ID出来,然后要把这一大堆ID有选择的插入到某些表,Y怎么判断这些,唉! [/B]
说具体点,呵呵。那你想扎判断?
我以前写过几个较大的系统,一般都是定义判断函数来做的。不知道你是什么意思 @_@ -
昏,你还能通过函数挨个全判断出来,
用函数判断的这样的系统不知道怎么做的权限设计没啊? -
你说的是HTTP_REFERER吧
还有个问题
你说的在提交之前修改某个单选按钮的值,
我试了试好像没法修改啊
怎么修改? -
没有的了 这个我感觉没有必要
我感觉他的意思是比如这样
http://www.xxx.com/yuguanglou/del.php?id=2
在这个时候如果把ID改成
http://www.xxx.com/yuguanglou/del.php?id=5
就会删除ID5的记录
所以我感觉是没有必要的
有权限DEL 2 就有权限DEL 5
这个一般都在后台的了 -
我有话要讲:(可以匿名发表, 发广告的有多远请滚多远!!!)
昵称: 请输入验证码:
9 条回复
回复