首頁猿問編寫用戶發(fā)帖功能，如何避免偽造他人...

編寫用戶發(fā)帖功能，如何避免偽造他人發(fā)帖的問題？

JavaScript

慕村225694 2019-04-06 08:32:00

初學(xué)web編程，有些問題不是很理解：假設(shè)用戶已登錄，然后發(fā)帖。在發(fā)帖表單中，我有一個(gè)隱藏的表單，value是當(dāng)前登錄用戶的id，用戶提交后該id將作為作者的字段寫入數(shù)據(jù)庫。但是，當(dāng)用戶將這段id改成其他用戶的id，一樣可以成功寫入，這樣帖子就變成別人發(fā)布的了。于是，我就想把當(dāng)前用戶的id保存在cookie里，不知道這種方法是否可行？如果按照上面的方法，假設(shè)用戶修改了cookie的id，那豈不是也可以偽造他人發(fā)帖了？

查看完整描述

2 回答

偶然的你

TA貢獻(xiàn)1841條經(jīng)驗(yàn) 獲得超3個(gè)贊

做登錄就別用cookie了，用session吧，cookie存在客戶端，可以被任意修改，session存在服務(wù)器端，相對(duì)安全。web登錄通常在用戶登錄后將userid寫到session里面，在用戶發(fā)帖提交后，直接從session取出userid存入數(shù)據(jù)庫。永遠(yuǎn)不要相信用戶輸入的數(shù)據(jù)。

反對(duì) 回復(fù) 2019-04-06

梵蒂岡之花

TA貢獻(xiàn)1900條經(jīng)驗(yàn) 獲得超5個(gè)贊

登錄成功后多存一個(gè)$token1到cookie中，這個(gè)$token1是根據(jù)用戶信息（比如帳號(hào)、密碼、useragent等）生成的加密字符串之后根據(jù)cookie中的uid在數(shù)據(jù)庫中查出用戶生成$token2用cookie中存的登陸時(shí)生成$token1與$token2對(duì)比，如果對(duì)比相等就證明可信了。

反對(duì) 回復(fù) 2019-04-06