【发布时间】:2014-12-24 12:26:15
【问题描述】:
在面向客户的表单中遇到敏感数据问题。
这是我的问题:有一个表单,我(作为站点管理员)可以代表客户编辑某些字段,但该客户不应该看到数据。这是我尝试过的:
禁用输入字段并将字段值设置为“由管理员设置”。问题:当客户端保存表单时,这些字段被擦除(将“禁用”字段视为空白)。
将输入字段设置为“只读”并键入=“密码”。这保存正确,但这些值仍然可以在 html 源代码本身中查看(对于任何精明到可以查看那里的客户)。
完全删除了非管理员的输入字段,文本为“由管理员设置”。但是以后,系统仍会尝试保存这些输入字段的值(即使它们不存在),因此当我以管理员身份查看它们时,它们最终仍会返回空白。
由于我正在编辑一个 WordPress 插件,我希望修改得轻一些(换句话说,如果这里有可行的解决方案,我真的宁愿不深入研究代码来修改保存内容)。
感谢您的帮助。
【问题讨论】:
-
那该怎么办呢?如果您不希望用户看到这些值,(3)似乎是您的最佳选择,您可以稍后填写空白字段。更重的选择是为表单提交设置某种批准程序,以便您有机会在它们完全提交之前对其进行编辑。
-
您永远不应该向客户端发送敏感数据。不要试图将它隐藏在明显的地方,永远不要发送它!
-
@Jonathan 我的想法完全正确。我根本不想向客户端显示它,而且我可以很容易地不显示数据。保存表单时出现问题 - 这些值存储为空白,这会覆盖我的数据库值(产生一个相当大的问题)。同样,我宁愿不修改保存代码,如果有更简单的解决方案我可以在这里实现。
-
@ScottHarris 谢谢 - 这也是我得出的结论,我只是希望可能有更好的解决方案。