一束光

摘要： 一：更改文章时，不要信赖任何用户提交的数据 用户会可能通过html代码修改更改文章的id号，来修改其他文章，如果没有对上传过来的文章id检验而直接利用获得的id来更改的话，很可能会出现一个用户把另外一个用户的文章给修改了。 解决办法： 对用户提交的文章id，进行验证，看是否是该用户的文章，如果是才有修改的权限，如果没有，则返回错误。（具体可以利用session存储用户登录的id，然后通过匹配是否能找到对应的记录，如果可以，说明是本人的文章，如果不是返回错误）以新浪博客为例：1、新浪博客文章的blog_id是加密过的字符串: 这里是的blog_id是：6a23a4c20101fi2l2、编辑文. 阅读全文