订阅session怎么防止越权访问
来源:网络收集 点击: 时间:2024-08-08【导读】:
越权访问就是指通过页面抓包,替换成其他用户的id且用户密码相同的情况下,便可以成功修改该用户密码。由于服务端只将用户的id和旧密码进行了匹配,达到欺骗登录的目的。怎么防止呢?可以通过session来处理。工具/原料moresession方面的知识PHP知识方法/步骤1/3分步阅读
2/3
我们来看下常见的做法:
//开始更新数据,即修改用户名 $query = UPDATE users SET user_name = $clean_username WHERE user_id = $clean_user_id; //由于where后面的数据是由用户控制的,所以用户可以随意修改id
这种通过$_post获取ID和数据库对比的方式很容易被抓包。
2/3修复方法,通过seseion来获取id,不用$_post.
$query = UPDATE users SET user_name = $clean_username WHERE user_id = $_SESSION;
不从用户那里接收id这个参数,而是从session中直接提取。
3/3这样就起到了防止越权的目的
版权声明:
1、本文系转载,版权归原作者所有,旨在传递信息,不代表看本站的观点和立场。
2、本站仅提供信息发布平台,不承担相关法律责任。
3、若侵犯您的版权或隐私,请联系本站管理员删除。
4、文章链接:http://www.1haoku.cn/art_1090941.html
