一:更改文章时,不要信赖任何用户提交的数据
用户会可能通过html代码修改更改文章的id号,来修改其他文章,如果没有对上传过来的文章id检验而直接利用获得的id来更改的话,很可能会出现一个用户把另外一个用户的文章给修改了。
解决办法:
对用户提交的文章id,进行验证,看是否是该用户的文章,如果是才有修改的权限,如果没有,则返回错误。(具体可以利用session存储用户登录的id,然后通过匹配是否能找到对应的记录,如果可以,说明是本人的文章,如果不是返回错误)
以新浪博客为例:
1、新浪博客文章的blog_id是加密过的字符串: 
这里是的blog_id是:6a23a4c20101fi2l
2、编辑文章,html代码显示为:
3、验证方法:
1》随便修改blog_id的值为一篇不存在的文章(添加几个字母即可),提交的时候会显示:
2》修改blog_id为别人文章的blog_id,如 644fc7230101e2yt,点提交时显示:
3》更改该blog_id为自己的另外一篇文章的blog_id号,点提交成功保存,结果另一篇文章被该篇文章覆盖了。
结论:
新浪博客修改文章时判断思路为:
判断提交的blog_id:
如果存在并且和当前用户匹配,则更新提交的blog_id对应的文章,这里面不会判断是否更改的是编辑前的那篇文章,(不过一般谁会没事改自己的文章了)
如果存在但是和当前用户的id不匹配,则提示非法修改(这里新浪用了一个友好的提示来掩盖)
如果blog_id不存在,则提示改文件不存在
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
