В настоящее время я работаю над системой, в которой, если пользователь входит в систему и просматривает созданную ими страницу, они могут редактировать или удалять ее. Содержимое страницы определяется переменной $_GET
. Я планирую принять эту переменную и проверить, владеет ли пользователь ею на бэкэнд, прежде чем что-либо делать с фактическими данными этой страницы.
Мое беспокойство в том, что если кто-то изменяет переменную $_GET
в URL-адресе? Как работает php с переменными $_GET
? Определены ли они, когда страница запущена или пользователь может изменить эту переменную на странице и изменить содержимое другой страницы?
Любая помощь по этому вопросу будет замечательной. В настоящее время, как я устанавливаю его, он не должен быть слишком большим для работы, но я просто хочу убедиться, что я не буду сталкиваться с серьезными проблемами безопасности. Спасибо.
Любой пользователь может изменить * любой * значение отправляется на сервер, GET или иным образом. Перед его выполнением всегда проверяйте и авторизуйте серверную операцию. – David
Так же, как я думаю об этом. Подтвердите, что эта фактическая страница была загружена пользователем, иначе перенаправление без каких-либо действий. – Coilerz
Вам необходимо проверить входы, злонамеренные пользователи могут редактировать/удалять ваши сообщения, если нет безопасности. – Jer