Request.QueryString не очень безопасно. Если кто-то вошел в систему. Просто введите URL-адрес
myaccount.aspx?custId=10
Можно получить информацию о другом Заказчике.
Так что это совсем не безопасно. Причина публикации этого заключалась в том, что я хотел альтернативный способ передачи идентификатора клиента между страницами. Может, зашифровать?
Действительно, для myaccount.aspx пользователю не нужно передавать свой идентификатор в качестве параметра.
Как уже говорили другие, используйте членство. Или создайте хэш (зашифрованное значение) идентификатора пользователя и пароля и сохраните его как файл cookie или в объекте сеанса. Вы можете прочитать это вместо входного параметра.
Строки запроса надежны и не содержат ошибок.
Что ошибочно и небезопасно, так это доверять входным данным пользователя. Вы несете ответственность за проверку того, что данные, отправляемые на сервер, не являются вредоносными и что запрошенное действие разрешено для вошедшего в систему пользователя.
Вы должны взять это значение перемешивания запроса, убедиться, что оно допустимого типа (ваш пример выглядит как целое число), а затем, прежде чем извлекать данные клиента, убедиться, что пользователю разрешен доступ к этим данным клиентов.
Это не входит в обязанности QueryString. Вам необходимо внедрить систему аутентификации и авторизации, желательно с MembershipProvider и RolesProvider.
Он делает то, что должен делать. Вы должны обеспечить безопасность своего сайта. Никто не сказал, что все в строке запроса используется для конфиденциальных функций, связанных с доступом.
Нет безопасного способа пройти его. После того, как пользователь вошел в систему, сохраните идентификатор в сеансе или что-то подобное, а затем всегда берите его оттуда.
Вы должны использовать безопасность ASP.NET для аутентификации и авторизации клиентов, чтобы вошедший в систему пользователь проверяется, чтобы узнать, есть ли у него доступ к идентификатору клиента, указанному в строке запроса.
