如何在MVC3中隔离存储在SQL DB中的用户数据

Question

我有问题找到最好的方法如何隔离用户的数据存储在数据库中。

现在，如果我登录并访问我的个人资料，我可以看到从db加载的数据。

示例.../myprofile/PeterM

但是，如果我手动将地址更改为.../myprofile/MartaM，我会看到用户marta的数据存储在数据库中，如何隔离成员数据。

谢谢你问我这个也许很愚蠢的问题。

Answer 1

您应该始终检查是否允许访问数据的用户执行此操作。不要只依赖于查询字符串。

因此，例如，不是根据查询字符串中的用户名执行数据库查找，而是根据当前经过身份验证的用户获取信息。

如果我以Brandon的身份登录，那么GetUser(HttpContext.Current.User.Identity.Name);应该总是返回我的信息，而不管谁的名字被传递给了控制器操作。

或者只检查您正在检索的用户名是否与HttpContext.Current.User.Identity.Name相同