日志含义MVC用户更新实体ID
本文关键字:更新 实体 ID 用户 MVC 日志 | 更新日期: 2023-09-27 17:50:22
假设你有一个ASP。. NET MVC应用程序和一个Post
方法,允许用户更新一些实体
[HttpPost]
public ActionResult Edit(int id, MyEntitie entitie)
{
...
}
如何确保用户在发送post请求时不更新实体的ID
?如果用户更改ID
,可能会导致DB中的某些内容失败或危及应用程序的安全性。
规则1:永远不要相信用户的输入。即使是你的祖母也不行
无论是否有客户端验证,都必须在服务器端验证输入的用户数据。
在处理请求和更新数据库之前,只需确保用户具有使用发布到服务器的id更新实体的权限。
你就是不能。即使您将其隐藏,用户仍然可以通过打开页面代码或通过Fiddler等工具修改(包括post request)它。您需要在服务器端构建安全功能。例如,检查用户是否对该实体具有访问权限和CRUD操作。