代码存在修改任意用户资料的漏洞?
比如你直接访问/users/2/edit的时候,你就可以读取和修改用户id为2的资料。应该判断session里面的用户id和传过来的id是否一致,不一致的话禁止访问和修改。
推荐文章: