关于Asp.Net中页面传值的安全问题？

显示全部楼层 · 2008-7-16 11:19:24

我先说一下我的情况：
从登陆页(index.aspx)进去以后，页面那转向‘Edit.aspx？ID=1’
在这个页面我通过传过来的ID=1，也就是在数据库里面该用户表的主键，来获取该用户的相关信息。但是很可怕啊-----把地址栏中的ID=1该为ID=2也就是‘Edit.aspx？ID=2’，再单击地址栏右侧的‘转到’，竟然是别的用户信息，在数据库中也就是主键为2的用户信息！要是别人也这样，可想而知.....
怎么屏蔽这个？

千问 · 2008-7-16 11:19:24

你可以把 "id=1" 这个字符串编码掉然后在接受页面解码出来

千问 · 2008-7-16 11:19:24

在跳转前判断用户是否是ID为2的用户，如果是，则OK，如果不是，则返回