Questione : problema di sicurezza nell'applicazione di inizio attività: un utente entrato può pubblicare lei o il suo proprio profilo

Ciao amici. Ho trovato un problema di sicurezza nella mia applicazione di inizio attività. Ciò è l'applicazione di NBPTS che ormai è abituata a molti di voi nella tribuna di CFML. =) l'utente entrato A può pubblicare lei o il suo proprio profilo: rel= " nofollow " " del _blank " " del target= " di http://www.nbptsprincipals.org/principal/principal_registration.cfm?UserID=160 del href= del

.org/principal/principal_registration.cfm di http://www.nbptsprincipals? UserID=160

But semplicemente cambiando, nel campo di posizione del browser, il valore UserID=160 ad un altro UserID, può osservare e pubblicare altre identificazioni usuario anche!

Is là un senso assicurare le identificazioni usuario? È ci una dichiarazione che posso aggiungere alla funzione del onRequestStart in application.cfc per respingere la pubblicazione di altre identificazioni usuario? la dichiarazione del

The dovrebbe dire:

* se l'utente entrato ha UserRoleID 5, può pubblicare soltanto il suo UserID.

* se l'utente entrato ha UserRoleID 3, lui può pubblicare le identificazioni usuario con UserRoleID 5 ed il suo proprio UserID.

* se l'utente entrato ha UserRoleID 1, può pubblicare tutto il UserIDs.

How io aggiungerebbe quella logica alla mia funzione attuale del onRequestStart?

Thank voi come sempre per qualsiasi advice.

Eric B class= > " libero " del
> " del codeSnippet " del class= del
class= " lineNumbers " del
class= del 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
>< notpretty " del class= " del id= " codeSnippet839998 del 
 
name= " onRequestStart " di 

    required=/> " allineare " " di targetPage " " del name= " della stringa del type= di   
    securefolders del   
    currentFolder del    




  
    il  
          
                il  
          expires= " 7 " " del value= " #form.UserEmail# " " di SaveUserEmail del name= del  
         
         
         
        checkLogin del  
           template= " LoginForm.cfm " del   
           false> del  
         
     
     
 






     listFindNoCase del    
       il    
           template= " LoginForm.cfm " del 
            il message= del 
             
          
           expression= " #currentFolder# " del   
              value= " admin " di   
                  eq del listFind del    
                      template= " LoginError.cfm " del 
                        
                    
                
              value= " collegamento " di   
                  eq del listFind del    
                      template= " LoginError.cfm " del 
                        
                    
                
                 
                
             
          
       
    
    
         
      
      clearSessionVariables del 
      
      false> del 
  

    
    
         
         
                                                           
    il
class= del

Risposta : problema di sicurezza nell'applicazione di inizio attività: un utente entrato può pubblicare lei o il suo proprio profilo

Bene, dentro

      {33, “B„}, {22, “C„}, {22, “D„}, {44, “E„}, {22, “D„}

avete che entrata molto duplicata - rimuoverla appena dopo che è fascicolata, per esempio.
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:

#include  
#include  
#include  
#include  
#include  
#include  
#include  

using il namespace std;

struct StudentAttempt
{
   distanza di int;
   studentName della stringa;
};

bool cmpEntry (StudentAttempt lasciato, destra di StudentAttempt) {
   == di ritorno right.studentName del && left.studentName del == right.distance di left.distance;
}
cmpAttempts di bool (StudentAttempt lasciato, destra di StudentAttempt) {
   se (left.distance < right="">& v, StudentAttempt& sa, stringstream& ss del const) {

   vettore:: const_iterator i = v.begin ();
  size_t la SZ = 0;
  il bFirst di bool = allinea;

  mentre (i! = v.end ()) {

    se (isDistEqual (*i, sa)) {
    
      se (! studentName del bFirst) <>ss;
      ++sz;
    }

    ++i; 
    bFirst = falso;
  }

  la SZ di ritorno;
}
 

conduttura di int () {

   throwDist di StudentAttempt [] = {
      {50, “A„},      {22, “A„},      {16, “B„},      {44, “C„},
      {33, “D„},      {34, “E„},      {22, “F„},      {21, “G„},
      {49, “A„},      {5, “B„},      {2, “C„},      {22, “A„},
      {33, “B„},      {22, “C„},      {22, “D„},      {44, “E„}, {22, “D„}
   };


   insieme trattato;

   int len = sizeof)/sizeof (throwDist [0] (di throwDist);

   dist di vettore (throwDist, throwDist + len);
   vettore:: iterator esso = dist.begin ();

   specie (dist.begin (), dist.end (), cmpAttempts);

   unico (dist.begin (), dist.end (), cmpEntry); // rimuove i duplicati identici dal vettore fascicolato


   per (; esso! = dist.end (); it++) {

      stringstream ss;

      accoppiamenti:: iterator, bool> p = handled.insert (it->distance);

      se (! p.second) continuano; // già trattato

      se (0  < printAllEqual="">
Altre soluzioni  
 
programming4us programming4us