请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

删除地址的横向越权问题

这块有点不明白,删除方法里已经传了userId这个参数了,为什么在执行删除方法时,只传shippingId会有横向越权的问题呢?执行这个方法前不是已经有userId传进来做一个条件了吗
骑着猪找未来 2018-04-02 10:51:47
源自:10-2  收货地址增,删,改,查,分页列表,地址详情功能开发
581
收起

正在回答 回答被采纳积分+3

2回答

Geely 2018-04-05 13:16:02

你好,同学,这个是为了保证userid是这个用户的,如果删除的话,直接用shippingid,会操作其他用户的id,这里是为了防止手工传userid和shippingid。


0 回复 有任何疑惑可以回复我~
收起回答
取消 回复
polo哦 2018-04-02 12:17:51

收货地址只能是自己删自己的,而前端传过来的地址id有可能不一定是登录用户的,这时候才要用session里面的user传userid,确保是登录用户自己删自己的地址

0 回复 有任何疑惑可以回复我~
收起回答
取消 回复

相似问题

哪些部分体现
614 0 2
仍然是
598 3 3
在进行操作时,进行count时,是否需要过滤掉状态限点/用户等
881 0 4
测试add.do时为什么还要手动传userId啊,这个不是从session里获取吗?
699 0 3
限模块一个疑
761 0 2

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
从0开始 独立完成企业级Java电商网站服务端开发
  • 参与学习       9476    人
  • 解答问题       8804    个

前后端分离,数据库接口设计,架构设计,功能开发,上线运维

了解课程

本课精华内容

问答

源配置能干嘛?它的作用是啥?目的又是什么?为什么这么配置?

10.3k 10

老师为什么我的阿里云远程就连不进去 改了安全组也不行

1.9k 22

【upload.do】504 (剧终,解决办法看下面我的最新一条评论)

1.4k 21

Could not get JDBC Connection无法登录了

2.2k 21

这是怎么回事前面GIT命令和maven执行不了

2.0k 18

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信