UC知道有关网页地址连接
来源:百度知道 编辑:UC知道 时间:2024/06/30 22:06:57
我用asp+access做网页
我分普通用户和管理员,普通用户就是看不到管理员一小部份资料,都是同一个表时读出的数据,只能不rs读出来就可以区分了,但这里出现一个漏洞,例:
普通用户文件view.asp
管理员文件admin_view.asp
我用普通用户读第id=101条数据时http://localhost/view.asp?id=101,可以正常看到该看到的信息,
但如果我直接在地址上改为http://localhost/admin_view.asp?id=101,就直接看到我管理员的数据了!如果给人家知道管理员的浏览文件名,这样就完全暴露在外了!
这问题怎么办?
如何处理?
我分普通用户和管理员,普通用户就是看不到管理员一小部份资料,都是同一个表时读出的数据,只能不rs读出来就可以区分了,但这里出现一个漏洞,例:
普通用户文件view.asp
管理员文件admin_view.asp
我用普通用户读第id=101条数据时http://localhost/view.asp?id=101,可以正常看到该看到的信息,
但如果我直接在地址上改为http://localhost/admin_view.asp?id=101,就直接看到我管理员的数据了!如果给人家知道管理员的浏览文件名,这样就完全暴露在外了!
这问题怎么办?
如何处理?
加入用户权限判断
例如:在admin_view.asp中,
如果是普通用户直接跳转到别的页面,例如管理员登陆页面或显示其他内容
权限信息可以保存在session或cookie中,直接判断这些信息即可