- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
考虑以下示例:HTML 页面:
<input type="text" name="update_12" />
名称为“update_12”的输入框和新文本为:“Some another data”通过表单发送到服务器端 PHP 脚本(比如 process.php)
数据库格式:
=====================
message_ID Message
=====================
12 Some data
13 Another data
如果 PHP 脚本对输入名称进行爆炸:
foreach ($_POST as $key => $value) {
if(strstr($key, "update_")){
$required_id = explode('_',$key)[1];
$query = "UPDATE <db_name> SET `Message`='".$_POST[$key]."' WHERE `message_id`='".$required_id."'";
}
}
这会使用 message_ID 的新消息更新数据库:12
我是 PHP 的新手,正在探索 MySQL 中的基本数据存储、更新、检索和删除。
因为客户端可以更改输入字段的名称:“name”并发送另一个值进行更新。例如:如果客户端打开firebug,将输入框的“name”字段更改为“update_13”,他的操作将覆盖另一个用户的Message。
我尝试通过尝试在 Facebook 中删除状态来对此进行研究。通过对要删除的 POST 数据的初步观察,我可以看到一些重要的参数被发送以供删除:
impression_id=456ab622
profile_id=100005552221116
__user=100005552221116
story_fbid=540912345678911
对于帖子删除,关联的 ID 如下所示:story_fbid。当我将其更改为可能是:540912345678912(最后一位更改)然后单击删除,fb 需要一段时间并返回一条错误消息:无法完成此操作。在发送删除的 POST 请求(修改了 story_fbid)后,会出现此错误消息。 POST 请求的响应包含显示在模态窗口中的错误消息。
我可以想到一种方法,其中 ID 及其散列 (MD5/SHA1/SHA2) 存储在数据库中,在收到 ID 后,获取它的散列,如果匹配,则更新数据库中的该行。然而,(在我们的例子中)13 的哈希值有可能匹配任何其他行并因此执行更新操作。
您能否建议我们可以验证客户端未更改值的任何其他安全方法?
here 问题的答案正是我要找的。然而,在那次讨论中没有合适的解决方案/方法。
最佳答案
您可以使用您自己的函数或内置的 php 函数 uniqid() 创建一个唯一的生成 ID (ID1)。启动用户 session 并将 ID1 以及消息 ID(ID2) 存储在 session 中,如下所示。
session_start();
$ID1 = uniqid();
// store session data
$_SESSION['ID1']=$ID1;
$_SESSION['ID2']=$ID2;
假设生成的 ID 是“145f214”。您的表单中的输入将如下所示
<input type="text" name="update_145f214 />
提交表单时,您只需在输入元素中获取 ID1 并检查:
这是一个非常基本的解决方案,但您肯定会从那里改进。
如果您有很多字段并且使用数据对,那么您将需要在 session 中保存这些数据对和其他数据对。
假设您有 10 个字段,数据如下:[12a:1][12b:2][12c:3]
您可以将字段的顺序和相应的数据保存到 session 变量中。
$_SESSION['field1'] = [12a:1];
$_SESSION['field2'] = [12ba:2];
也可能是这个
$_SESSION['fieldCount'] = 10;
确保您知道自己生成了多少个字段
从那里您可以首先检查提交的字段数是否与您生成的字段数相同。然后通过与 session 变量中的数据进行比较来检查所有字段是否都具有您分配给它的对(这也将有助于检查顺序是否已更改)。
我回到这个是因为我有一个类似的案例并实现了上述解决方案。
如果你愿意,我可以给你更多的细节
关于php - 在数据库更新之前检查客户端是否更改了 ID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20172411/
我查看了网站上的一些问题,但还没有完全弄清楚我做错了什么。我有一些这样的代码: var mongoose = require('mongoose'), db = mongoose.connect('m
基本上,根据 this bl.ocks,我试图在开始新序列之前让所有 block 都变为 0。我认为我需要的是以下顺序: 更新为0 退出到0 更新随机数 输入新号码 我尝试通过添加以下代码块来遵循上述
我试图通过使用随机数在循环中设置 JSlider 位置来模拟“赛马”的投注结果。我的问题是,当然,我无法在线程执行时更新 GUI,因此我的 JSlider 似乎没有在竞赛,它们从头到尾都在运行。我尝试
该功能非常简单: 变量:$table是正在更新的表$fields 是表中的字段,$values 从帖子生成并放入 $values 数组中而$where是表的索引字段的id值$indxfldnm 是索引
让我们想象一个环境:有一个数据库客户端和一个数据库服务器。数据库客户端可以是 Java 程序或其他程序等;数据库服务器可以是mysql、oracle等。 需求是在数据库服务器上的一个表中插入大量记录。
在我当前的应用程序中,我正在制作一个菜单结构,它可以递归地创建自己的子菜单。然而,由于这个原因,我发现很难也允许某种重新排序方法。大多数应用程序可能只是通过“排序”列进行排序,但是在这种情况下,尽管这
Provisioning Profile 有 key , key 链依赖于它。我想知道 key 什么时候会改变。 Key will change after renew Provisioning Pr
截至目前,我在\server\publications.js 中有我的 MongoDB“选择”,例如: Meteor.publish("jobLocations", function () { r
我读到 UI 应该始终在主线程上更新。但是,当谈到实现这些更新的首选方法时,我有点困惑。 我有各种函数可以执行一些条件检查,然后使用结果来确定如何更新 UI。我的问题是整个函数应该在主线程上运行吗?应
我在代理后面,我无法构建 Docker 镜像。 我试过 FROM ubuntu , FROM centos和 FROM alpine ,但是 apt-get update/yum update/apk
我构建了一个 Java 应用程序,它向外部授权客户端公开网络服务。 Web 服务使用带有证书身份验证的 WS-security。基本上我们充当自定义证书颁发机构 - 我们在我们的服务器上维护一个 ja
因此,我有时会在上传新版本时使用 app_offline.htm 使应用程序离线。 但是,当我上传较大的 dll 时,我收到黄色错误屏幕,指出无法加载 dll。 这似乎与我对 app_offline.
我刚刚下载了 VS Apache Cordova Tools Update 5,但遇到了 Node 和 NPM 的问题。我使用默认的空白 cordova 项目进行测试。 版本 如果我在 VS 项目中对
所以我有一个使用传单库实例化的 map 对象。 map 实例在单独的模板中创建并以这种方式路由:- var app = angular.module('myApp', ['ui', 'ngResour
我使用较早的 Java 6 u 3 获得的帧速率是新版本的两倍。很奇怪。谁能解释一下? 在 Core 2 Duo 1.83ghz 上,集成视频(仅使用一个内核)- 1500(较旧的 java)与 70
我正在使用 angular 1.2 ng-repeat 创建的 div 也包含 ng-click 点击时 ng-click 更新 $scope $scope 中的变化反射(reflect)在使用 $a
这些方法有什么区别 public final void moveCamera(CameraUpdate更新)和public final void animateCamera (CameraUpdate
我尝试了另一篇文章中某人评论中关于如何将树更改为列表的建议。但是,我在某处(或某物)有未声明的变量,所以我列表中的值是 [_G667, _G673, _G679],而不是 [5, 2, 6],这是正确
实现以下场景的最佳方法是什么? 我需要从java应用程序调用/查询包含数百万条记录的数据库表。然后,对于表中的每条记录,我的应用程序应该调用第三方 API 并获取状态字段作为响应。然后我的应用程序应该
只是在编写一些与 java 图形相关的代码,这是我今天的讲座中的非常简单的示例。不管怎样,互联网似乎说更新不会被系统触发器调用,例如调整框架大小等。在这个例子中,更新是由这样的触发器调用的(因此当我只
我是一名优秀的程序员,十分优秀!