假设保存某名称表a,有字段user_id,row_id,name;row_id为自增主键,user_id为用户表中的id,name为名称;
用户理应只能控制自己user_id==自己的记录.
当我们在显示了数据后,并会提供row_id给用户删除对应的记录,row_id是唯一的,可以保证能正确删除对应的数据了,
但是如果我们为了方便.在删除时,并不加上user_id = 操作者id时,那么,就会存在一个安全问题.
如果用户恶意更改这个row_id,因为它是自增id,所以,肯定能方便的猜到存在的row_id,而刚好此记录却并不是本操作用户拥有控制权的,
这时,此用户也能正常删除此记录;这问题将很严重.
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
