ASP.NET MVC 3控制器的編輯操作是否容易受到黑客攻擊？

Question

這篇文章ASP.NET MVC UpdateModel vulnerable to hacking?問同樣的問題，但沒有答案的具體闡述了主鍵的黑客。

鑑於這樣的代碼在一個控制器：

[HttpPost] 
    public ActionResult Edit(string accountNumber, FormCollection formValues) 
    { 
     ... 
    } 

什麼是防止惡意用戶在POST修改了accountNumber的值，並從而更新一個完全不同的記錄？

Answer 1

沒有什麼能阻止這一點，就像沒有什麼可以阻止有人從發出請求到http://example.com/users/edit/12345（其中12345是你沒有訪問權限的帳戶）。您作爲應用程序開發人員負責驗證發出當前請求的用戶實際上是否有權訪問請求的資源。

回答你的特定問題是一樣的答案，您鏈接到的問題。主鍵不是特別的。如果用戶不能修改模型的某些屬性，請使用[Bind]屬性來控制允許綁定的屬性。更好 - 首先不要在模型上禁用屬性。 （如果你真的想堅持第二種模式，你不能使用ORM進行綁定，但是當我對MVC代碼庫進行安全審計時，我總是建議。）