老师，你的代码有一个任意修改别人密码的漏洞！！！！

来源：6-12 找回密码（2）

很久以前_要很久

2018-01-31

在那个修改密码的页面，我把hidden里面的邮箱改成别人的，那我岂不是想修改谁就修改谁的密码？？？

写回答

1回答

bobby

2018-02-01

修改密码页面必须要在登录的情况之下才行，而且只能修改当前登录用户的密码这个是行不通的

bobby

慕运维2948618

这里如果为了安全，可以在这里填写一个用户的session，后台通过这个sessionid找到用户然后修改用户就行了

2018-05-21

共2条回复

Python3.6+django+xadmin，打造在线教育平台

【毕设】Python 2.7到3.6 完美适配，Django升级2.0

3677 学习 · 4038 问题

相似问题

回答 2

回答 3

回答 1

回答 3

回答 2