Zend form：编辑时存储条目ID的安全方式？

Question

我是 Zend Framework 的新手，在使用 Zend_Form 创建编辑表单时遇到问题。

我的问题是我需要在编辑过程中存储条目 ID，我见过一些使用隐藏表单字段的示例，但隐藏字段可以由用户操作。

那么：如何设置一个由 $form->populate($data); 填充的表单字段，并且在提交请求后可用，但用户无法以任何方式编辑/可见？

感谢您的帮助！

Answer 1

我不确定试图隐藏该值是否真的有意义。

请考虑以下事项：

• 要显示正确的编辑器表单，您需要要编辑的对象的 ID。
• 在允许用户编辑某个 ID 之前，您需要检查用户是否可以编辑它。

因此，如果您将 ID 放入表单中，那么实际上并不重要：

• 当您发布编辑表单时，您应该再次检查用户是否仍然可以编辑 ID。
• 如果用户更改隐藏 ID，那也并不重要。他们仍然可以通过在网站上找到另一个 ID 来编辑它。 （这是假设您的检查没有告诉您用户没有访问权限）

Answer 2

你想隐藏什么样的数据？
数据应该在 post 或 get 中。如果您不将数据放入表单中，那么您将不得不使用 GET，它的安全性不如 POST。
如果您有一些数据并且不希望用户看到这些数据，那么您不应该将这些数据放入表单中。您可以使用表单提交的值存储和检索隐藏数据。假设您的隐藏字段是用户的密码。当客户端编辑表单时，您不需要将密码发送回客户端。您可以根据用户提交的名字和姓氏在控制器中操作密码。
如果您仍然坚持，您可能想尝试使用 ZF 加密数据并回显您的值并将加密数据设置到隐藏的表单元素中。

Answer 3

Zend_Form 使用您指定的表单元素生成一个 HTML 表单元素。因此它的元素功能被缩小为简单的 HTML 形式。

隐藏的表单元素用于传递用户不应该手动输入的数据。但正如您自己所说，不能保证它不会被篡改。因此使用隐藏的表单值并不能提供安全性。

大多数时候，您最好使用服务器端值（例如存储在会话中）来引用要防止用户访问的值。

我建议您将 ID 保留在会话值中，然后您可以在隐藏表单字段中使用会话密钥。这样用户就无法更改目标ID。但是，您无法一步使用 $form->populate($values) 。您必须通过其他步骤设置目标值：

1. 从会话中获取数据
2. 使用获取的数据设置表单元素值