ASP.NET 中的 CustomerId 和 Request.QueryString

Question

Request.QueryString 不太安全。万一有人登录。 只需输入 URL，

myaccount.aspx?custId=10

即可获取另一客户的信息。

所以它根本不安全。发布此内容的原因是，我想要一种在页面之间传递 customerId 的替代方法。也许加密它？

Answer 1

实际上，对于 myaccount.aspx，您不需要用户将其 ID 作为参数传递。

正如其他人所说，使用会员资格。或者创建用户 ID 和密码的哈希值（加密值）并将其保存为 cookie 或会话对象中。您可以读取它而不是输入参数。

Answer 2

查询字符串安全并且没有缺陷。

有缺陷且不安全的是信任用户输入数据。您有责任验证发送到服务器的数据不是恶意的，并且登录用户是否允许所请求的操作。

您应该采用该查询搅拌值，确保它是有效类型（您的示例似乎是整数），然后在获取客户数据之前，确保允许用户访问该客户数据。

Answer 3

这不是 QueryString 的责任。您应该实现一个身份验证和授权系统，最好使用MembershipProvider 和RolesProvider。

Answer 4

它做了它应该做的事情。确保您的网站安全取决于您。没有人说查询字符串中的所有内容都用于敏感访问相关功能。

Answer 5

没有安全的方法可以通过它。用户登录后，将 ID 存储在 Session 或类似的内容中，然后始终从那里获取它。

Answer 6

您可以检查 asp.net 成员身份

Answer 7

您应该使用 ASP.NET 安全 对客户进行身份验证和授权，以便检查登录用户是否有权访问查询字符串中指定的客户 ID。