在修改資料的模組中把使用者識別碼 放在 type="hidden" 的 input 裡面是否不安全？

這樣是不是特別不安全如果不放在這裡面應該放在哪裡，哪些大網站在做修改或刪除的時候哪些where條件都放在哪裡了？

回複內容：

那你後面修改資料時是不是依賴使用者這次提交的這個 id？如果我作為使用者隨便填一個別人的 id 提交，那他的資料是不是被我改掉了？敏感性資料用 session 機制會更好一點，使用者端只存一個 session id 。我一般都是靠cookie辨認使用者。。。根本不用傳。

如果你系統目前使用者是誰都不知道，系統怎麼調出原來的資料放到表單中供使用者修改的？這不是 id 放哪裡的問題，而是後端許可權處理的問題，如果後端許可權處理得當，即便前端如何偽造請求也沒有問題。像這種用session 非要隱藏，那就再再寫一個，兩者建立一個演算法關係，伺服器端把演算法關係做比較，然後通過在做處理，但是也是不安全的，演算法過於簡單，很容易被攻破，總之，不要相信用戶端的一切資料來源 你們怎麼看永遠不要相信用戶端的輸入……1. 你打算修改當前登入使用者的資料，那麼使用者id不需要傳遞，一般考慮從session中擷取，登入的時候將id儲存到session，編輯的時候從session讀取。
2. 目前使用者是管理員？管理員修改其他使用者的資料？這樣的話，通過hidden input傳遞過來的ID，需要在後端進行許可權判斷，判斷目前使用者是否有許可權修改傳遞過來的使用者id。可以用hashids

