使用隐藏的输入来检索用户数据是否安全？

Question

我有一个非常大的表格，分为5个子表格。 当您从form1转到form2时，form1中的信息存储在DB中，并创建一个userId。 然后在form2中，此userId被添加为隐藏输入。 像这样：

<form action="" method="post">
    <input type="hidden" value="userIDnumber" id="userId" />
    <input type="hidden" value="<?php echo base_url();?>" id="url" />
    //form data
    <input type="button" id="prevButton" value="Prev" />
    <input type="submit" value="Next" />
</form>

如果用户决定要返回到form1编辑数据，则单击“返回”按钮时，将发生以下情况：

        var prev = document.querySelector('#prevButton');
        if(!prev.addEventListener){
            prev.attachEvent('onclick', prevPage);
        }else{
            prev.addEventListener('click', prevPage, false);
        }

        function prevPage(e){
            var userId = document.getElementById('userId').value;
            var url = document.getElementById('url').value;
            var form = document.createElement('form');
            form.setAttribute('method', 'post');
            form.setAttribute('action', url + 'form/1');
            form.style.display = 'hidden';

            var input = document.createElement("input");
            input.setAttribute("type", "hidden");
            input.setAttribute("name", "userId");
            input.setAttribute("value", userId);

            form.appendChild(input);
            document.body.appendChild(form);
            form.submit();              

        }

我正在做的是创建一个隐藏的表单，并在此表单中添加一个带有UserId的隐藏字段，以便在进入form1时，我可以检索用户刚刚发布的数据，并在用户进行任何更改时更新数据库。

我的问题是，这是检索用户数据的安全方法吗？ 我是javascript的新手，因此不确定是否通过这种方式攻击者可以通过直接插入其ID来访问其他用户的数据。

如果是这样，正确的安全方法是什么？ 我考虑过可能使用会话，但是我正在工作的客户端不希望用户必须登录。

我还没有发现与此相关的任何问题，但是如果我对此表示歉意，请指出我的意思。

感谢您的时间。

Answer 1

当用户访问我的网页时，我创建一个全局对象，在其中创建用户命名空间，如下所示：

APP.user = {}; 

在此对象中，您可以存储所需的属性，并且可以在用户登录时使用Ajax从服务器检索用户数据。

您会在浏览器内存中获得一个带有键值对的简单对象。 例如：

APP.user = {
    user_id: 'kgy', 
    firstname: 'kim', 
    lastname: 'gysen', 
} 

实际上，该数据也是公开可用的。
当涉及敏感数据时，将数据存储在DOM /全局对象空间中永远是不安全的。
当然，无论如何，用户都需要登录才能访问这些数据。

一件事是，这种方法会更快，因为不需要爬网DOM，而只是跨不同页面获取一些本地用户数据。