这是一个创建于 3779 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景
有一个表:Member
字段: id username password sex name ag .........
字段比较多,在后台接收参数:
public String updateInfo(Member member){
memberDao.update(member);
}
在一个修改用户资料的页面,只允许修改一些基本信息(姓名 年龄 性别 之类的),在前台的地方构建 sex name age 三个表单,提交到方法内,由spring mvc自动给set到bean去..
遇到的问题
这样就有一安全问题,如果这个用户是不允许修改用户名 或者 不允许修改密码的... 用户猜到是用这个模式进行的更新操作,自己构造 username password 参数提交,spring mvc 找到member中有这些属性,就自动设置上去了.. 执行update的时候就会一并更新了。
自己想到的解决办法
如果不用自动设置到bean的模式,单独接收每一个参数,那如果参数很多就会非常的乱而且繁琐,请问各位有没有一个比较好的解决方案。
 | 1 cloudhunter 2015-06-10 22:02:25 +08:00  1 做 updateInfo 之前,检查下用户有没有相应的更新字段权限不就结了 |
 | 2 letitbesqzr OP @cloudhunter 那样做的麻烦程度,不就和每个参数都单独接收一样了? |
 | 3 saximoer 2015-06-10 22:07:49 +08:00 1 页面上看到的VO 对象和实际的ENTITY 不是一个对象即可~ |
 | 4 monsoon 2015-06-10 22:43:08 +08:00 via Android 1 搜索 BeanUtils |
 | 5 BuilderQiu 2015-06-11 09:27:54 +08:00 1 前后台不是一个VO,转换一次即可 or 根据ID或者登陆用户什么的查询出被修改的数据,然后从前台传来的对象中取出有权限修改的部分赋值,更新。 |
| 6 letitbesqzr OP @BuilderQiu 采用第二种方案.. 3q |
Select Language