在写网站的时候，有修改资料的功能我把用户ID放在type='hidden'的input里面了

在写网站的时候，有修改资料的功能。我把用户ID放在type='hidden'的input里面了？
这样是不是特别不安全？
如果不放在这里面应该放在哪里，那些大网站在做修改或删除的时候哪些where条件都放在哪里了？

回复讨论(解决方案)

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗？

这不存在安全问题
你浏览资料的时候不都还把 id 放到 url 中吗？

？？放在url中？？？好吧。

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

恶意用户把你的ID改了成了别的ID？怎么验证？
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。

你放在 type='hidden' 中是修改不了的
如果一定要在调试工具里修改，那就不是好人了

如果说要防止，那就只有： 拔掉网线

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

恶意用户把你的ID改了成了别的ID？怎么验证？
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。

换成别人的ID之后怎么样，修改用户资料吗？
那修改权限，你都不检查吗，不检查是否是修改自己？

放在url都没问题，安不安全得靠你服务器做验证啊。
修改资料难道不是登录用户才可以吗？

关键看你的input ID主要是从哪里来的，要用来干什么?

恶意用户把你的ID改了成了别的ID？怎么验证？
想跟大家讨论下一个大家在写这种类似的功能的时候把id或者code之类的条件放在哪里。

换成别人的ID之后怎么样，修改用户资料吗？
那修改权限，你都不检查吗，不检查是否是修改自己？

怎么判断是否是自己？用session?那是不是就用hidden的ID就行了，直接用session里面的ID是不是就行了。

对啊，你登陆成功了可以记个ID在session里，然后编辑时检查session 里的ID是否等于url中或者hidden的ID不就可以判断出来是不是自己了。