若查询的url如 xxx.action?uid=12 或者链接为 <a href="xxx.action?uid=12">查询</a>
这样用户很容易就能看出来查询id为12的用户信息,若用户修改这个12为其他的ID,如1 ,那岂不是也可以查看ID为1的用户信息了?这是查询,问题不算太严重,如果是update呢?ID可能会存放在hidden中,但是通过fireBug等工具可以很容易的改动这个hidden的ID值,这样,那岂不是用户可以在为授权的情况下改动任意ID的用户了????安全URLjava
这样用户很容易就能看出来查询id为12的用户信息,若用户修改这个12为其他的ID,如1 ,那岂不是也可以查看ID为1的用户信息了?这是查询,问题不算太严重,如果是update呢?ID可能会存放在hidden中,但是通过fireBug等工具可以很容易的改动这个hidden的ID值,这样,那岂不是用户可以在为授权的情况下改动任意ID的用户了????安全URLjava
解决方案 »
- snmp 开发 急 急 急!
- Java和c++
- TOMCAT启动慢
- 请教高手:在linux系统上tomcat怎么绑定域名?
- 关于ActionForm的属性和对应jsp页面表单数据的映射
- 自动发送电子邮件程序
- web service 问题
- Weblogic里面的Workshop控件开发有谁做过,难吗?
- 求助!有关Gel的调试问题
- [Microsoft][ODBC SQL Server Driver][SQL Server]当 IDENTITY_INSERT 设置为 OFF 时,不能向表 'usertable' 中的标识列插入显式值。
- 目前 java支持rest风格 使用最广泛的开源框架是什么?
- hibernate中更新,数据库未同步更新
2、普通用户只能修改自己的信息,根据session里的id来区分。
或者我理解的不对,请详细说说你的方法
2.楼主去查一下url重写urlReWrite技术。