|
|
主题: 关于UD详细页的安全问题
|
JLZ
职务:普通成员
等级:1
金币:1.0
发贴:141
注册:2002/7/27 10:00:12
|
#12002/8/12 16:07:09
题意:当用户登录时进入 主窗口,选择要更改的项目,,转到详细页之后,,IE地址栏中有 ?id=333
改变这个333这个数字,,,能进入其它用户的资料,,并能更改。。请求各路高手解决。。。
|
缺缺
职务:管理员
等级:8
金币:41.0
发贴:9620
注册:2004/1/14 19:14:47
|
#22002/8/12 16:34:34
增加一个User Authentication->Restrict Access To Page 行为 
编辑历史:[这消息被allinhands编辑过(编辑时间2002-08-12 16:35:55)]
|
JLZ
职务:普通成员
等级:1
金币:1.0
发贴:141
注册:2002/7/27 10:00:12
|
#32002/8/12 17:40:00
楼上老兄,谢了,,不对啊,,你这只是针对登录的第一个页面,,我说的是当成功登
录后在管理页面,再用详细页,加了你这个会打不开详细节的(我试过),
|
缺缺
职务:管理员
等级:8
金币:41.0
发贴:9620
注册:2004/1/14 19:14:47
|
#42002/8/12 17:44:20
不是
所有的需要加密的网页都加上,如果不能访问说明没有登陆,session中没有相关信息。
|
udfans
职务:普通成员
等级:2
金币:0.0
发贴:417
注册:2002/2/2 12:32:55
|
#52002/8/12 22:07:40
在form表单的ACTION属性里不要设置成GET,应该用POST,
|
JLZ
职务:普通成员
等级:1
金币:1.0
发贴:141
注册:2002/7/27 10:00:12
|
#62002/8/13 8:40:04
呵呵,,,(没有登陆是不能改)但登陆用户还是可以更改其它用户的信息啊。
udfans说的用post 转到详细页服务行为根本就不是表单,请各高后指教。
|
JLZ
职务:普通成员
等级:1
金币:1.0
发贴:141
注册:2002/7/27 10:00:12
|
|
缺缺
职务:管理员
等级:8
金币:41.0
发贴:9620
注册:2004/1/14 19:14:47
|
#82002/8/13 13:55:51
DW默认session是MM_Username,你修改成其他的名字,那样就应该不能通用了~~
我没有试验过~想当然的
|
JLZ
职务:普通成员
等级:1
金币:1.0
发贴:141
注册:2002/7/27 10:00:12
|
#92002/8/13 15:03:41
没办法我只得用一个session取当前记录的卡号,,然后再在新的页面中比较。要求
卡号相等,这样不管他改id都没有,呵呵,寻别人改id的话,如果卡号不相同会出现
(原因我把卡号放在 session中,呵呵,,因改不了的吧)
你要显示的记录被删除,也就是记录指针指到最后 什么 eof错误,
|
