我的大漏洞! 用SESSION判断用户名口令,控制他是否有修改的权利。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 在 join.php 里再判断当前用户有没有权限咯 http://www.csdn.net/expert/topic/1030/1030528.xml?temp=.4503595第2贴! 你老人家可以在第一个文件之前加一个header.ini这里装的可是你的验证.就如果你的权限都放在里面.如果你没有那个权限你就什么也改不了.如果你有那人权限你还用的着在那里改id吗?或如此.用session记录你的登录信息.现在在头上有一个判断.if(权限小的话){你老人家可不能这样做.}else {执行操作.} 或你用.<INPUT TYPE="hidden">传参数别人看不到.也就没能办法改id了. 同意楼上的用session可以做到的嘛.这是用GET传值的del.php?uerid=1234你可以用隐含对象<input type="hidden" name="uerid" value="1234">在后端你这样拿值if(count($HTTP_POST_VAR)>0){if($HTTP_POST_VAR[uerid]>=4){del}else{no}}这样它就无法通过GET传值来绕过你啦. 用隐含对象对方也可以改的,把HTML下载下来,改完ID后存盘在本地提交 求PHP生成缩略图的功能 求一个正则表达式 php中如何实现动态添加查询项 copy()的问题 告别CSDN散分 得到来路url的方法和蜘蛛抓取记录的方法 ajax向php页面传值时应该如何编码? 文件遍历操作疑问:怎样将所有符合条件的文件更名? 奇怪~!原来好用的程序怎么不好用了?错在那里?请指教~~! 请问如何备份虚拟主机上的数据库 很简单的问题,高分 我终于知道猪是怎么笨4的了:0 还是join.php?editid=XXX的问题!麻烦大家了:(
第2贴!
这里装的可是你的验证.就如果你的权限都放在里面.
如果你没有那个权限你就什么也改不了.
如果你有那人权限你还用的着在那里改id吗?
或如此.
用session记录你的登录信息.
现在在头上有一个判断.
if(权限小的话)
{
你老人家可不能这样做.
}
else
{
执行操作.
}
也就没能办法改id了.
这是用GET传值的
del.php?uerid=1234
你可以用隐含对象
<input type="hidden" name="uerid" value="1234">
在后端你这样拿值
if(count($HTTP_POST_VAR)>0){
if($HTTP_POST_VAR[uerid]>=4){
del
}else{
no
}}
这样它就无法通过GET传值来绕过你啦.