可以说我有一个网站,其中包含指向我主页上各种图书的链接。PHP通过获取通过MySQL唯一ID的安全性
<a href='books.php?id=1'>Book 1</a>
<a href='books.php?id=2'>Book 2</a>
<a href='books.php?id=4'>Book 3</a>
书籍1-3是在我的系统,但ID = 3是分开,我不是显示或通过该网站的这部分授权另一catelog的。因此,如果用户点击Book 3,然后将id = 4更改为id = 3,他们可以简单地拉起记录(假设我没有正确的会话检查)。
有没有一种很好的方法来掩盖你试图拉特定记录时传递的获取ID?它似乎通过传递只是id很容易请求页面,没有适当的查询和会话检查,你将能够得到另一个结果。
有没有更好的方法来做到这一点?
干杯