主题:  ★★★delete.asp删除页面的安全隐患问题.★★★

jujishou
职务:普通成员
等级:1
金币:0.0
发贴:55
注册:2002/9/27 21:33:02
#12002/11/7 10:32:38
delete.asp页面时候(假设只设置了command命令),
如何防止会员利用URL地址,删除同等级权限会员的记录信息?

★看了几本书,只有提示是先在delete.asp页面里建立数据集,然后用登陆者的session来判断.
但具体详细做法我还不是很清楚.请高手指点.



缺缺
职务:管理员
等级:8
金币:41.0
发贴:9620
注册:2004/1/14 19:14:47
#22002/11/8 9:17:19
你用一个session来记录用户的级别.

比如管理员:session("user")=admin

然后在del.asp里面加判断;

if session("user")<> "admin" then
response.redirect "login.asp" else

...
Command
...

end if



jujishou
职务:普通成员
等级:1
金币:0.0
发贴:55
注册:2002/9/27 21:33:02
#32002/11/8 10:22:04
我指的是同等级!!!
登陆的人是同等级的.然后他利用同等级,和URL去删除其他人的
我用<%if(session("MM_username")<>Recordset1.Fields.Item("user").value) then
response.redirect("index.asp") %>
怎么不可以??