session怎么防止越权访问

1、我们来看下常见的做法：

//开始更新数据，即修改用户名    $query = "UPDATE users SET user_name = '$clean_username' WHERE user_id = '$clean_user_id'";    //由于where后面的数据是由用户控制的，所以用户可以随意修改id

这种通过$_post获取ID和数据库对比的方式很容易被抓包。

2、修复方法，通过seseion来获取id，不用$_post.

$query = "UPDATE users SET user_name = '$clean_username' WHERE user_id = '$_SESSION['user_id']'";

不从用户那里接收id这个参数，而是从session中直接提取。

3、这样就起到了防止越权的目的