可以說我有一個網站,其中包含指向我主頁上各種圖書的鏈接。PHP通過獲取通過MySQL唯一ID的安全性
<a href='books.php?id=1'>Book 1</a>
<a href='books.php?id=2'>Book 2</a>
<a href='books.php?id=4'>Book 3</a>
書籍1-3是在我的系統,但ID = 3是分開,我不是顯示或通過該網站的這部分授權另一catelog的。因此,如果用戶點擊Book 3,然後將id = 4更改爲id = 3,他們可以簡單地拉起記錄(假設我沒有正確的會話檢查)。
有沒有一種很好的方法來掩蓋你試圖拉特定記錄時傳遞的獲取ID?它似乎通過傳遞只是id很容易請求頁面,沒有適當的查詢和會話檢查,你將能夠得到另一個結果。
有沒有更好的方法來做到這一點?
乾杯