我已经看到许多网站(包括SO和我的网站)在HTML属性中存储从数据库中提取的数据的行ID.我知道它可以由客户端的用户编辑,也可以发送到服务器端来更新数据.以此查询为例,请记住,它是用于提升评论:
SELECT comment_id, comment FROM comments
普通人会像这样打印:
<td data-commentid="<?php echo $row['comment_id']; ?>"><?php echo $row['comment']; ?></td>
和输出:
<td data-commentid="1">+1, beat me to it.</td>
<td data-commentid="2">Damn! What is this?</td>
...
当它显示给某些黑客类型的用户时,他会尝试用250之类的东西编辑这个纪念品,然后点击upvote按钮,我们无辜的脚本会接受它,并且会用id 250对其他评论进行投票,尽管它在视觉上是用id评论的1或2.
问题:
有没有办法摆脱这个?您可以打开控制台并检查SO,当您更改其属性引用以注释重要信息时,它似乎使用更新的属性的id更新数据库.
这实际上不是攻击.
执行"hack"和实际查看评论#250并提升它之间没有区别.
如果用户将ID或操作更改为不允许执行的操作,则必须使用服务器端授权/访问控制来拒绝该请求.
简而言之:
始终验证输入是否有意义,并允许用户执行操作.