那些遇到过的问题

保护ASP.NET MVC中URL的ID

Mar*_*tin 4 security asp.net-mvc

我正在使用ASP.NET MVC中的典型CRUD应用程序,其中将有多个用户帐户,每个用户帐户都有许多项目.

当用户正在编辑项目时,他们将在诸如/ edit/5之类的URL上执行此操作,其中数字表示数据库中行的ID.

我有一些用户担心只是将ID更改为另一个用户的项目的ID并能够更改它.为了保护ID,我发现了以下解决方案:

  1. 对它进行加密以使其无法轻易更改 - 但当然我必须每次回发时都有代码来解密它.
  2. 更改数据库模式,以便在ID旁边生成GUID,并在URL中使用它.

  3. 保留可读ID,并在项目查询中包含登录用户的UserID,以便查询如下所示:

    database.Items.SingleOrDefault(c => c.UserID == [当前登录的用户ID] && c.ID == itemID);

也许有一种更好的方式或方式我没有想到.您首选的方法是防止此问题?

Dar*_*rov 9

绝对是第三种解决方案.从加密的 cookie中获取登录的用户ID (参见FormsAuthentication),并在SQL查询中使用它来验证该项属于用户.

  • 我同意.您应确保该用户有权编辑该项目. (2认同)

Fre*_*dou 5

永远不要相信用户输入,始终检查它是否可以访问它.

归档时间:

查看次数:

1230 次

最近记录:

13 年,6 月 前
相关归档
MVCBuildViews无法正常工作 49
如何通过一个简单的步骤在文件中使用私钥创建自签名证书? 34
登录尝试后GoDaddy上的另一个安全例外 8
MVC 3在IEnumerable模型视图中编辑数据 8
如何在Startup.cs文件中获取ASP.NET MVC应用程序的基本URL? 8
我们什么时候在 spring security 中使用 denyAll 6
是否有处理SQL限制和事务的DBI代理? 5
Spring Boot 安全性,具有 3 个字段身份验证和自定义登录表单 5
如何向应用程序角色授予 db_owner 权限? 5
.htpasswd/.htaccess让*几乎*任何密码都有效 3
难疑归档
如何使用正则表达式验证电子邮件地址? 3201
如何在Bash中连接字符串变量 2624
NPM vs. Bower vs. Browserify vs. Gulp vs. Grunt vs. Webpack 1811
什么是JavaBean? 1677
在不应用它的情况下查看存储中的内容 1650
在C++中将int转换为字符串的最简单方法 1488
Apache Camel究竟是什么? 1310
你如何在YAML中阻止评论? 1272
如何在Bash中将字符串转换为小写? 1158
将先前的提交分解为多个提交 1113