用户篡改隐藏域的值如何验证 - 问答

xyf90314 2017-07-26 11:45:39 2186次浏览 9条回答 0 悬赏 100 金钱

问个问题：
是这样的，现在我有个表单，输入手机号码，点击查找按钮，查出对应用户的uid和身份证号码。这2个值我放在各自的隐藏域里面，现在的问题是用户完全可以F12来修改2个隐藏域的值，我虽然在后台通过uid和身份证来验证2个值是否一一对应，但是我不能验证，用户修改后的值也是一一对应的。那这种情况有什么好的解决方案吗？？

阿江回答于 2017-07-26 12:03 举报

_csrf，Yii2表单自带的，自动验证

共 1 条回复

xyf90314 回复于 2017-07-26 12:14 回复

@ycjnx 那如果不是yii2呢这个也可以使用吗

回复 0 0
阿江回答于 2017-07-26 13:07 举报

如果不是yii2里，你可以自己使用session或cookie实现一下，使用session相对安全些

回复 0 0
koko 回答于 2017-07-26 14:59 举报

永远别相信用户提交的数据，一定要验证。

用户都能猜中uid和对应的身份证了，那还能咋弄，根据实际风险，添加更多的验证方式。

回复 0 0
pmd 回答于 2017-07-27 08:16 举报

后端在根据实际情况和你的应用场景在进行验证一遍

回复 0 0
dashixiong 回答于 2017-07-27 09:29 举报

肯定是用缓存啊，你提交表单干嘛。

回复 0 0
嗯嗯回答于 2017-07-27 11:59 举报

为什么不在用户提交后才通过uid去查询你要的（查出对应用户的uid和身份证号码）呢？

共 1 条回复

xyf90314 回复于 2017-07-27 13:55 回复

@嗯嗯我只是模拟这个问题这个并不是我遇到的问题

回复 0 0
admin_admin 回答于 2017-07-27 23:02 举报

其实你都没有遇到过了你就模拟你多虑了我想问下比如你后台账号admin 被人猜中了你怎么办你没及时发现人家就可以登录进行操作，，所以如果表单提交的数据在验证后都是正常的数据那就是合法的插入，你也没办法毕竟是程序最后就只会成为一条脏数据无实际意义的

回复 0 0
BoyLee 回答于 2017-07-28 16:04 举报

直接传手机号过去，然后所有操作在后台完成，

多说一句，如果是单页，可以通过 token 验证传过去的 uid

回复 0 0
jackz 回答于 2017-07-28 18:00 举报

提交的时候把手机号发过去,再次查找,然后使用查找的得到的数据,注意前端的数据只是显示用.

回复 0 0