Kann ein Benutzer die Seite Bearbeiten Quelle Bearbeiten hidden-Feld Werte und buchen Sie die form mit diesen Werten?
Auf verschiedenen Websites, die Sie Häufig sehen, im Quelltext der Seite einige versteckte Werte, auf die Formen (die in der Regel halten eine Art von Konstante, Schlüssel, ID, etc). So etwas wie:
<input type="hidden" name="_submit_check" value="1">
Ich würde davon ausgehen, diese website ist doppelte überprüfung der form gepostet wurde, indem Sie prüfen _submit_checks Wert für 1. Wäre es möglich, Bearbeiten Sie die Quelle und ändern Sie Sie auf 0, dann die Daten posten und so die form keine Beiträge server-Seite?
Diesem Beispiel ist das nicht sehr gefährlich für den server, da es einfach ignorieren die Anfrage, aber gibt es irgendwelche möglichen Sicherheits-Risiken mit der Verwendung von hidden-Felder (andere als die offensichtliche: Sie kann noch Lesen den Wert in der Quelle, bin ich mehr besorgt, wenn Sie es Bearbeiten können).
- In kurzen, ja. Dies ist genau der Grund, warum Sie sollten immer überprüfen die Benutzereingaben.
- ... auf der server-Seite (finishing @MikeB ' s Kommentar).
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ja, ein Benutzer kann kopieren Sie Ihre html-Formular, die Werte ändern und dann post an Ihren server. Deshalb ist es immer wichtig, die Validierung und Bereinigung von Benutzereingaben einschließlich des versteckten input-Werte, die auf der server-Seite und nicht nur die client-Seite(also javascript).
Ja, können Sie es Bearbeiten, und heute, wenn Browser wie Chrome und Firefox haben integrierte web-Entwicklungs-tools ist einfacher zu ändern die Werte. Das ist, warum Sie sollten nicht Vertrauen auf die empfangenen Daten vom Benutzer.
Ja, Sie können. Wenn du mit Firebug/IE-Developer-Tools/etc, die Sie Bearbeiten können, etwas auf die Seite und schicken Sie das Formular mit diesen Daten. Sie können auch ausführen, js und änderungen vornehmen, auf diese Weise. Dies ist einer der Hauptgründe, warum Sie wirklich, wirklich brauchen, um überprüft alle Eingänge auf der server-Seite, bevor Sie etwas mit Ihnen.
Ja, das ist möglich. Mit modernen Browsern mit developer/debugging-tools integriert oder als Erweiterungen, die Sie nicht sogar brauchen, um das Formular zu speichern, um es zu Bearbeiten. Dies ist, warum Sie sollten nie das Vertrauen von Daten als eine form der Unterordnung und überprüfen und bereinigen Sie es.
Ja, es ist sehr einfach mit Entwickler-tools-plugin für Browser. Solche Werkzeuge werden verwendet, um die Menschen zu täuschen und Lügen auch, also jemand, der Erstellung einer landing page für eine Zwielichtige Reich Regelung vielleicht Bearbeiten Sie die zahlen auf Ihrem Paypal-Konto, dann nehmen Sie ein screenshot. Dies soll beweisen, dass Sie Reich sind.
Einige von uns wissen es besser. Wir wissen alles muss bestätigt/validiert in der Welt des internet und akzeptieren Sie nichts zum Nennwert.
Ich bin derzeit auf der Suche bei der Verhinderung der form von hacking in WordPress und beschleunigen die Entwicklung durch die Speicherung der Daten über ein Formular in die Datenbank. Dies geschieht on-the-fly. Alle Formen sind gebaut mit vielen Funktionen, die ich nicht HTML. Jedes sichtbare hat eine Validierung Methode, die in der Datenbank gespeichert ist. Während die Bearbeitung der Methode wird abgefragt und angewendet.
Kurz gesagt könnte ein Benutzer Bearbeiten, versteckte Eingänge, die Sie mögen. Die Datenbank enthält eine Kopie von alles vorübergehend und der Prozesse verwendet.