1
比方说,我在我的网站上有一个表格<form action="delete_post.php" method="post">...</form>
:http://mysite.com和文件action/delete_post.php
用匹配表单中给定的ID删除帖子。针对表单处理不同网站上的文件
有人可以尝试通过建立一个网站有一个表单,删除我的网站随机职位:
<form action="http://mysite.com/action/delete_post.php' method="post">...</form>
,并沿着他想要删除[只是被乐趣帖子ID的传球邪恶或造成对并发网站的损害或其他]?
你可以想象一下,有人可以针对你的表单处理文件做一大堆事情,所以我需要保护我的文件免受这种威胁?
PS:我不跟http://mysite.com
让这些用户都登录到您的网站?如果是这样的话,你可以将id与原始海报匹配。 – Cups 2010-09-26 13:39:08
是的,我想到了会话保护,因为这些操作是在受保护的管理区域内执行的 – Samuel 2010-09-26 13:44:16