Question

Request.QueryString не очень безопасно. Incase кто-то вошел в систему. Просто набрав в URL

myaccount.aspx?custId=10

Можно получить информацию другого Клиента.

Так что это совсем не безопасно. Причина публикации была потому, что я хотел альтернативный способ передачи customerId между страницами. Возможно зашифровать это?

Bob · Answer 1 · 13 апреля 2011

Строки запроса безопасны и не ошибочны .

Недостатком и небезопасностью является доверие к вводимым пользователем данным.Вы несете ответственность за проверку того, что отправляемые на сервер данные не являются вредоносными и что запрошенное действие разрешено для вошедшего в систему пользователя.

Вы должны принять это значение запроса, убедитесь, что это допустимый тип (ваш пример выглядит как целое число), а затем, прежде чем извлекать данные клиента, убедитесь, что пользователю разрешен доступ к данным этих клиентов.

PunkyGuy · Answer 2 · 14 апреля 2011

Действительно, для myaccount.aspx пользователю не нужно передавать свой идентификатор в качестве параметра.

Как уже говорили другие, используйте Членство.Или создайте хеш (зашифрованное значение) идентификатора пользователя и пароля и сохраните его как файл cookie или в объекте сеанса.Вы можете прочитать это вместо входного параметра.

Shadow Wizard · Answer 3 · 13 апреля 2011

Не существует безопасного способа передать его. После того как пользователь вошел в систему, сохраните идентификатор в сеансе или что-то подобное, а затем всегда берите его оттуда.

Joe · Answer 4 · 13 апреля 2011

Он делает то, что должен делать.Это зависит от вас, чтобы защитить свой сайт.Никто не сказал, что все в строке запроса используется для функций, связанных с конфиденциальным доступом.

Daniel A. White · Answer 5 · 13 апреля 2011

Это не ответственность QueryString. Вы должны внедрить систему аутентификации и авторизации, предпочтительно с MembershipProvider и RolesProvider.

Mark Cidade · Answer 6 · 13 апреля 2011

Вы должны использовать ASP.NET security для аутентификации и авторизации клиентов, чтобы проверенный вошедший пользователь проверял, имеет ли он доступ к идентификатору клиента, указанному в строке запроса.

CustomerId и Request.QueryString в ASP.NET

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 7 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

CustomerId и Request.QueryString в ASP.NET

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 7 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы